-
Com toda sinceridade, acho que esta havendo uma certa supervalorizacao deste problema... Tem certeza de que realmente o problema sao os SYN? De quantos SYN por segundo estamos falando?
Neste momento, por exemplo, o trafego do meu link esta em 32Mbs (1:10 da manha) o que eh bem baixo... De 18 as 23 eh o horario de pico onde o trafego chega a 96Mbs... Bem, neste momento estao passando cerca de 200 pacotes syn por segundo no meu roteador... Considerando-se um trafego 3x maior, pode colocar ai pelo menos 1000 pacotes syn por segundo... 520000 conexoes TCP simultaneas...
Grande parte disto nao eh ataque nenhum, sao os programas de torrent... E isto nao deixa meu roteador nem de perto lento... E ele nem eh uma maquina tao boa assim, eh apenas um Core 2 de 2200Mhz com 3Gb de RAM... Faz o roteamento de 2500 clientes conectados simultaneos e ainda tem 6000 rotas BGP...
Pacotes syn nao deveriam ser um problema a nao ser que voce esteja usando um hardware dimensionado bem abaixo disto... Digo bem mesmo, tipo Athlon XP 2000 pra baixo e pouquissima RAM...
Telemar, nao tem problemas com isto pois eles nao usam um hardware ruim como o meu... Usam roteadores mesmo, nao PCs... Roteadores tem uma capacidade de processar IRQs muito maior... Aguentam muito mais pacotes por segundo...
Voce nao citou, mas pelo forum onde postou, esta usando um Mikrotik como router, certo? Se sim, que RB eh? Ou eh computador? Tem umas RBs que realmente nao aguentam nada...
-
é um atlhon X2 , 2.4ghz e 1024 ddr400. o processamento do cpu fica 0% o dia todo, inclusive nos momentos que começa a putaria.
Eu não sei como medir exatamente os pacotes pra te dizer quantos por segundo são. mas olhando lá pela aba connections de ip>firewall , em horário de pico e com os clientes bichados conectados, apareciam cerca 500 conexões syn na tela.
Se os syns não forem a causa, são sintomas, pois o problema começa quando eles aparecem. Não tenho experiência suficiente pra bater o olho e deduzir o problema, seja ele os syn ou nao.
-
Eh, realmente eh complicado deduzir...
O seu Mikrotik é o ultimo ponto antes da Internet? É seu roteador de borda?
Há um bom tempo eu desisti de usar Mikrotiks na borda justamente pela falta de uma ferramenta boa para casos como este... O torch eh uma bela porcaria e o packet sniffer nao serve pra nada util... tcpdump e jnettop do Linux sao muito mais úteis para identificar ataques ou algo do genero...
Vamos comecar do basico entao... Quando o problema ocorre, vendo esta tela, voce consegue identificar que vem apenas de 1 cliente seu? Se sim, coloque esta regra no FORWARD do seu IP > FIREWALL e deixe logando por alguns segundos e depois poste o log aqui...
/ip firewall filter add chain=forward src-address=1.1.1.1 protocol=tcp action=log log-prefix=saida
/ip firewall filter add chain=forward dst-address=1.1.1.1 protocol=tcp action=log log-prefix=entrada
O IP 1.1.1.1 tem que ser substituido, obviamente... Lembre-se de mover ambas as regras para o topo do FORWARD e deixar apenas alguns segundos... Fique preparado para desativa-las pois, caso o ataque seja pesado, a propria regra pode deixar o Winbox lento.
Acompanhe o log com "/log print follow" ao inves da tela LOG, pois eh mais rapido e menos penoso para a performace do Winbox.
Essa regra logara todos os pacotes entrando e saindo do IP X... Funcionara praticamente como um tcpdump e dara uma nocao exata do que esta ocorrendo...
-
essa maquina não é a border não, tem um load balance depois dela, esse load que recebe os links, balanceia eles (nth) e joga pro servidor.
Vou fazer o teste que vc sugeriu, só deve demorar um pouco agora pois todos os clientes com o problema já formataram. Foi uma dor de cabeça explicar a coisa pra eles....