2 Anexo(s)
Tráfego indesejado em Ap Bridge Mikrotik RB 433
Olá galera.
Recentemente estou tendo problemas com as minha RB's que estão como ApBridge em 2.4, oque acontece.
O numero de RX dos pacotes chega a passar de 4000 PP/S na interface de rede de entrada em todas as Bridges de uma vez. Isso acontece inúmeras vezes ao dia, comprometendo até a rede 5.8 que é encarregada dos Ponto a Ponto, pois satura os PPS do enlace.
Pode ser vírus?
Ataque de hacker?
Ajudem por favor.
Em anexo figura do Winbox com o torch rodando.
Como podem observar isso está sendo gerado por: Eth Protocol 806 (arp)
De que forma eu conseguiria bloquear todo esse tráfego?
Só para constar já possuo filtros na bridge conforme o outro anexo.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
caro bennthiago
eu uso esse comando:
/ip firewall connection print count-only where assured=yes
e geralmente ele é o mais correto.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
amigo o que esta ligado nesta eth1 desta rb, por que vindo dai.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
Ao que tudo indica é virus cara,tivemos um problema bem parecido a pouco tempo e achamos o cliente,foi solicitado que formatasse a maquina e fim do problema.
Abs.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
Como esta ARP da Interface?
Vc usa o controle de Aceitar Conex Validas, Relacionadas, Novas e Drop nas invalidas alem do bloqueio de todas as portas para input e liberar apenas o que voce deseja. o destino esta rota Default pelo que vi na img
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
wondernetwork obrigado pela resposta.
este comando "/ip firewall connection print count-only where assured=yes" vc aplica na bridge ou no servidor ? Oque ele faz na verdade, me parece que é apenas para monitorar?
Obrigado por enquanto
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
olá demattos.
eth1 (faz parte da bridge) e está ligado o cabo de rede >>>switch>>>ptpCli>>>ptpAp>>>server
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
Olá Fernandols.
Como conseguiram indentificar o cliente infectado?
Abs.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
Olá leoservice.
ARP da interface está como enable em todas, sempre utilizei assim. O filtro de firewall conforme você citou eu faço no servidor e não na bridge.
Minha rede é mista 2.4(placas pci e alguns rádios no clientes) e 5.8 (toda M ubiquiti). Pelo que andei percebendo em todas as bridges 2.4 sempre entram esse tráfego pela eth1 que é a interface de cabo de entrada e não pela wireless vindos dos clientes, logo, esse tráfego indesejável pode estar vindo de algum cliente em 5.8.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
O que tem ligado na eth1 ?
Uma vez tive um problema parecido, era um hub que estava jogando todo o trafego na rede de volta para a rb, vc pode ver que esse trafego não passa para a outra interface, é como se a rb ficasse escultando a sua rede.
Veja se tem algum hub na sua rede e tente trocar o switch.
Citação:
Postado originalmente por
bennthiago
Olá galera.
Recentemente estou tendo problemas com as minha RB's que estão como ApBridge em 2.4, oque acontece.
O numero de RX dos pacotes chega a passar de 4000 PP/S na interface de rede de entrada em todas as Bridges de uma vez. Isso acontece inúmeras vezes ao dia, comprometendo até a rede 5.8 que é encarregada dos Ponto a Ponto, pois satura os PPS do enlace.
Pode ser vírus?
Ataque de hacker?
Ajudem por favor.
Em anexo figura do Winbox com o torch rodando.
Como podem observar isso está sendo gerado por: Eth Protocol 806 (arp)
De que forma eu conseguiria bloquear todo esse tráfego?
Só para constar já possuo filtros na bridge conforme o outro anexo.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
flaviorair.
Esse problema não acontece apenas em uma bridge, e sim em 5 de uma só vez. Ora está normal, e ora começa todas ficam daquela forma, em horários diferentes mas todos os dias, logo, isso causa lentidão em toda a rede 2.4 e 5.8 e latência alta.
Abs
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
Olha tem forte suspeita q seja um maquina infectada com virus, vc tera que ir isolando analizando o trafego de todos os seus clientes por onde esta passando esta anomalia, so com trabalho de investigacao vc vai conseguir, como te disse tive um problema bem similar e era um cliente com virus. Hj minha rede esta toda roteada e com kit ap nos clientes felismente nao tive mais problema.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
demattos
Obrigado pela participação. Vou fazer um trabalho de investigação aqui na rede para ver como posso eliminar isso.
Se alguém tiver alguma sugestão, postem aí pessoal.
Abs
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
Citação:
Postado originalmente por
bennthiago
demattos
Obrigado pela participação. Vou fazer um trabalho de investigação aqui na rede para ver como posso eliminar isso.
Se alguém tiver alguma sugestão, postem aí pessoal.
Abs
Olá amigo,é como o demattos falou o jeito que eu achei tbm foi na unha,vai isolando partes da sua rede e observe se o problema ainda persiste, so com investigação msm,uma sugestão se sua rede ainda é toda bridge assim que puder adote uma medida que estamos por fazer aqui que é começar a rotea-la o que ira trazer varios beneficios a mesma inclusive maior facilidade de achar esse tipo de problema ou mesmo que ele nem se propague pela rede,boa sorte aí.
Abs.
Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433
Dei uma investigada na rede e percebi que esses pacotes correm a rede toda e não só nas bridges, rodei um packet sniffer do mikrotik e achei um mac que não estou conseguindo identificar na rede. Segue link http://underlinux.org/f212/virus-ou-ataque-na-rede-158235/
grato a todos que estão participando.
