juniper mx traffic monitor

Статическая и динамическая, протоколы

juniper mx traffic monitor

Сообщение lv10 » 20 фев 2014, 05:27

приветствую, господа.

mx5 используется как пограничный маршрутизатор, а также как агрегация кучи вланов (серверов)
иногда прилетает ddos на какой-то сервер

как оперативно выяснить куда льется мусорный трафик?

lv10@jborder> monitor traffic interface ge-1/1/0 no-resolve

показывает только трафик самого роутера, а мне нужен trafshow транзитного трафика.
lv10
новичок
 
Сообщения: 9
Зарегистрирован: 31 мар 2010, 15:41

Re: juniper mx traffic monitor

Сообщение root » 20 фев 2014, 09:16

Да, транзитный трафик не показывается в дампе.
Для просмотра транзитного есть варианты:

1. port mirror
2. traffic flow и sampling
3. firewall + action log или syslog

Мы пользовались forwarding-options sampling в связке с /usr/ports/net-mgmt/pmacct (http://www.pmacct.net/) демон nfacctd либо через firewall. В зависимости от задачи/проблемы.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: juniper mx traffic monitor

Сообщение lv10 » 07 май 2014, 23:08

не смог самостоятельно решить проблему с мониторингом трафика

использовать netflow или port-mirror не представляется возможным, ввиду отсутствия сервера рядом с juniper + нехватка портов
при ддосе, приходится снимать с анонса всю /24, иначе лежит все.

каким образом можно закаптюрить пакетики, чтобы выяснить какой же /32 генерирует столько трафика и забанить его к чертям.

готов оплатить консультацию.
сил уже нет
lv10
новичок
 
Сообщения: 9
Зарегистрирован: 31 мар 2010, 15:41

Re: juniper mx traffic monitor

Сообщение lv10 » 08 май 2014, 01:31

привожу конфиг:

Код: Выделить всё
[edit forwarding-options]
lv10@jborder# show
sampling {
    input {
        rate 100;
    }
    family inet {
        output {
            file filename ddos.txt files 10 size 1m;
        }
    }
}


Код: Выделить всё
[edit firewall family inet]
lv10@jborder# show
filter sample {
    term dump {
        then {
            sample;
            accept;
        }
    }
}


Код: Выделить всё
[edit interfaces ge-1/1/1]
lv10@jborder# show
vlan-tagging;
encapsulation flexible-ethernet-services;
unit 466 {
    vlan-id 466;
    family inet {
        filter {
            input sample;
        }
        address 2.2.2.2/30;
    }
}


файл ddos.txt создается в /var/tmp но он пустой

Код: Выделить всё
% cat ddos.txt
# May  7 22:19:18
#          Dest             Src  Dest   Src Proto  TOS   Pkt  Intf    IP   TCP
#          addr            addr  port  port              len   num  frag flags
# May  7 22:32:43
#          Dest             Src  Dest   Src Proto  TOS   Pkt  Intf    IP   TCP
#          addr            addr  port  port              len   num  frag flags
%


процесс sampled жрет ~60% проца
lv10
новичок
 
Сообщения: 9
Зарегистрирован: 31 мар 2010, 15:41

Re: juniper mx traffic monitor

Сообщение root » 08 май 2014, 07:40

lv10 писал(а):ввиду отсутствия сервера рядом с juniper

данные можно отправлять на любой IP и не важно где он находится, рядом с девайсом или на другом конце света

lv10 писал(а):файл ddos.txt создается в /var/tmp но он пустой

ну видимо потому что трафика нет. с чего вывод что ddos, если он есть, идет через vlan 466 ? это же, скорее всего, не единственный ифейс в системе.
а если повесить firewall counter ? он тоже по нулям покажет ?

lv10 писал(а):привожу конфиг:

ну я не вижу каких либо проблем или ошибок в нем

lv10 писал(а):готов оплатить консультацию

пиши на noc [C0БАЧКA] mega-net.ru - обсудим
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia


Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron