Страница 1 из 1

juniper mx traffic monitor

СообщениеДобавлено: 20 фев 2014, 05:27
lv10
приветствую, господа.

mx5 используется как пограничный маршрутизатор, а также как агрегация кучи вланов (серверов)
иногда прилетает ddos на какой-то сервер

как оперативно выяснить куда льется мусорный трафик?

lv10@jborder> monitor traffic interface ge-1/1/0 no-resolve

показывает только трафик самого роутера, а мне нужен trafshow транзитного трафика.

Re: juniper mx traffic monitor

СообщениеДобавлено: 20 фев 2014, 09:16
root
Да, транзитный трафик не показывается в дампе.
Для просмотра транзитного есть варианты:

1. port mirror
2. traffic flow и sampling
3. firewall + action log или syslog

Мы пользовались forwarding-options sampling в связке с /usr/ports/net-mgmt/pmacct (http://www.pmacct.net/) демон nfacctd либо через firewall. В зависимости от задачи/проблемы.

Re: juniper mx traffic monitor

СообщениеДобавлено: 07 май 2014, 23:08
lv10
не смог самостоятельно решить проблему с мониторингом трафика

использовать netflow или port-mirror не представляется возможным, ввиду отсутствия сервера рядом с juniper + нехватка портов
при ддосе, приходится снимать с анонса всю /24, иначе лежит все.

каким образом можно закаптюрить пакетики, чтобы выяснить какой же /32 генерирует столько трафика и забанить его к чертям.

готов оплатить консультацию.
сил уже нет

Re: juniper mx traffic monitor

СообщениеДобавлено: 08 май 2014, 01:31
lv10
привожу конфиг:

Код: Выделить всё
[edit forwarding-options]
lv10@jborder# show
sampling {
    input {
        rate 100;
    }
    family inet {
        output {
            file filename ddos.txt files 10 size 1m;
        }
    }
}


Код: Выделить всё
[edit firewall family inet]
lv10@jborder# show
filter sample {
    term dump {
        then {
            sample;
            accept;
        }
    }
}


Код: Выделить всё
[edit interfaces ge-1/1/1]
lv10@jborder# show
vlan-tagging;
encapsulation flexible-ethernet-services;
unit 466 {
    vlan-id 466;
    family inet {
        filter {
            input sample;
        }
        address 2.2.2.2/30;
    }
}


файл ddos.txt создается в /var/tmp но он пустой

Код: Выделить всё
% cat ddos.txt
# May  7 22:19:18
#          Dest             Src  Dest   Src Proto  TOS   Pkt  Intf    IP   TCP
#          addr            addr  port  port              len   num  frag flags
# May  7 22:32:43
#          Dest             Src  Dest   Src Proto  TOS   Pkt  Intf    IP   TCP
#          addr            addr  port  port              len   num  frag flags
%


процесс sampled жрет ~60% проца

Re: juniper mx traffic monitor

СообщениеДобавлено: 08 май 2014, 07:40
root
lv10 писал(а):ввиду отсутствия сервера рядом с juniper

данные можно отправлять на любой IP и не важно где он находится, рядом с девайсом или на другом конце света

lv10 писал(а):файл ddos.txt создается в /var/tmp но он пустой

ну видимо потому что трафика нет. с чего вывод что ddos, если он есть, идет через vlan 466 ? это же, скорее всего, не единственный ифейс в системе.
а если повесить firewall counter ? он тоже по нулям покажет ?

lv10 писал(а):привожу конфиг:

ну я не вижу каких либо проблем или ошибок в нем

lv10 писал(а):готов оплатить консультацию

пиши на noc [C0БАЧКA] mega-net.ru - обсудим