Ce pot face pentru a evita unicast-inundații?

umane la urma urmei

Și, în același timp, închide serverul, apoi se dezvoltă într-o inundație de inundații-unicast și se aplică la toate interfețele virtuale pe server, în unele cazuri, întregul VLAN, dacă înțeleg bine, se înțelege de inundații unicast necunoscut.

Consiliere suplimentară, care nu cunoaște topologia rețelei, este dificil de dat.

UPD:
În acest exemplu, înseamnă că 109.XX.XX.XX este un IP, 53 este un port, Ne pare rău, trecute cu vederea. De aceea nu îmi place ieșirea din tcpdump și prefer să se ocupe de dump în formă de fișiere pcap.

Observ două probleme:
1) traficul de gunoi către unul dintre gazdele dvs.
2) inundarea (multiplicarea) acestui trafic către toate serverele virtuale

În ceea ce privește prima problemă, există întrebări. Cum folosiți un server DNS? Cum este filtrat accesul la acesta? Dacă nu, de ce? Sunt permise interogări recursive? Dacă este așa, este de dorit să le blocați procesarea, cu excepția cazului în care știți exact ce faceți. Bănuiesc în acest caz este o încercare de a atac 94.41.XX.XX cu ajutorul serverului dvs. (atac de dns reflecție, sau mai degrabă va fi posibil să spun, dacă vă oferă trafic în format .pcap benă, tcpdump -s 65535 -w -i). Dacă ipoteza este corectă, atunci există posibilitatea ca un astfel de trafic de deșeuri se oprește după un timp după ce dezactivați procesarea interogări recursive.






În general vorbind, aș în locul tău ar fi interzis traficul cu excepția serviciului și de gestionare a traficului (ssh, SNMP, etc) liste de control al traficului, folosind acces (ACL) de pe echipamentul activ (la dispozitive cel mai apropiat-L3, echipamente, cel mai probabil există două)

Rezumând, în locul tău:
1) a constatat traficul afișat în memoria de stocare, cu setările serverului DNS
2) ar permite doar traficul necesar pentru lucrul cu proiectul cu ajutorul ACL pe echipamente DC
3) configurați o monitorizare clară a serverului
Sunt sigur că după implementarea pp. 1), 2) problema observată va dispărea. Chiar dacă nu - am dat opțiunile (schimbarea setărilor L2 ale echipamentelor DC, schimbarea schemei de conectare)

UPD2:
Pentru a filtra orice trafic este imposibilă deoarece nu este traficul nostru, ci traficul către clientul care a închiriat VDS. Din același motiv, cineva nu poate bloca pachetele de intrare care nu înțeleg de ce nu se poate filtra traficul de client. Deci fă aproape totul. Când serverul închiriat pentru 100 $ pe luna, vine 10 gigabiti / C de trafic și mai mult, de regulă, este blocat traficul pentru simplul motiv că costul de trafic depășește veniturile clientului. În plus, acest trafic amenință infrastructura însăși. Ai pus o întrebare despre anti-DDoS. Ce este aceasta, dacă nu filtrarea traficului?

În continuare, cred că trebuie să refaceți schema de uplink, aceasta este soluția cea mai simplă și potențial eficientă. Deci, serverul a fost conectat la interfața L3 a router-ului și apoi a rutit (și nu a trecut) traficul către client. Îmi imaginez cum ar arăta în cazul switch-ului L3, dar cu siguranță nu îmi voi cunoaște nuanțele de a implementa suportul de rețea în Linux. Vă recomandăm să testați bine circuitul înainte de utilizare.

Articole similare

• Datoria copiilor de a plăti pensia alimentară părinților lor este cum să o eviți - răspunsuri și sfaturi

• Ce artizanat poate fi făcut din bile de spumă de dimensiuni mici

• Cum sa faci aquagrim un acvariu de Anul Nou se poate face pe o vacanta

Trimiteți-le prietenilor: