ESTUDO DE CASO: Cliente com virus e plaquinha USB e PCI imunda de pacote e pára tudo.

[anarchist]

Prezados,

Estou a cerca de 2 anos no mercado e na minha realidade a prática mais viável é a famosa plaquinha pci ou usb ralink para os clientes finais.

Devagarzinho estamos implementando rádios, sejam RBs, bullets, "aprouter" etc... Já estamos também estudando a viabilidade de implementar Motorola Canopys, mas vai ser um pouco difícil. Na nossa região quase não têm prédios, só clientes residenciais. (cidades de até 17 mil habitantes), ficando muito caro o custo final por cliente.

Bom... vamos ao assunto principal:

Vez ou outra algum cliente pega um virus extremamente destrutivo, apesar do cliente ter limite de banda no servidor mikrotik, ele faz 2000, 3000 requisições para um site ou outra coisa qualquer, imundando totalmente aquele cartão e a RB todas às vezes. Praticamente pára tudo.

O pior de tudo é descobrir quem é!!

Eu uso hotspot e toda vez que ele desloga, apagam-se os históricos de consumo e os tx e rx dropped (que por sinal é um ótimo indicador de cliente exagerando no consumo).

Com isso os outros clientes reclamam de lentidão, quando vou procurar o infeliz que estava bichado já tem saído do sistema e fico 2, 3 dias procurando o "boi".

Seria interessante fazer uma regra no MK para o cliente que abrir acima de X conexões por minuto/segundo ou X conexões simultâneas entrar para uma address list "aberração" e ficaria mais caracterizado esses clientes!

Bom, é uma idéia, mas estou com problemas de implementar esse script. Alguem pode me ajudar?

Seria algo do tipo:

Código :

add action=add-src-to-address-list address-list="aberracao" address-list-timeout=3d chain=forward comment="Cliente com virus" connection-limit=60,32 disabled=no protocol=tcp tcp-flags=syn

Com isso tenho a emarcação ddo cliente que abrir mais de 60 conexões de entrada.

Detalhe: Por conveniência e topologia da minha rede, não uso limite de conexões simultâneas, mas falando nela mesmo assim, não resolve esse problema. Também não resolve bloqueando o site/porta que está indo as requisições.

Dei uma dica de como identificar tais clientes, mas sei que não há nada que se possa fazer a não ser colocar um AP pra controlar a banda desse cliente ou mandar formatar a máquina dele.

Contem suas experiências e dicas para esse nosso problema! Quem sabe não sai algo realmente criativo e inovador!

[brunosamuel]

vc usa dhcp?

[anarchist]

uso, mas o ip é fixado ao mac.

Quanto a isso está tudo funcionando ok.

[brunosamuel]

pois coloca a mascara 32 no dhcp! vc isola os clientes uns dos outro!

[anarchist]

pois coloca a mascara 32 no dhcp! vc isola os clientes uns dos outro!

o problema não é esse...

as requisições do cliente vão pra outros IPs fora da rede.

Meus clientes são isolados um dos outros, mesmo sem essa máscara.

[brunosamuel]

então e melhor controlar numero de conexoes

[anarchist]

mesmo se eu controlar o cliente faz uma imundação de requisição e nao resolve!

você nunca passou por isso na tua rede?

[wppitp]

Isso e fd, esse cliente, nao conecta numa torre que e MK??

por isso nao uso essas plaquinhas, e meu provedor tem 2 anos, como o seu, na epoca, ja nao era tao caro passar para AP., plaquina e fd..

[anarchist]

Isso e fd, esse cliente, nao conecta numa torre que e MK??

por isso nao uso essas plaquinhas, e meu provedor tem 2 anos, como o seu, na epoca, ja nao era tao caro passar para AP., plaquina e fd..

realmente é foda...

mas tenho sorte porque só aconteceu esse problema 3x nesse período.

o custo/benefício ainda é válido.

ap - 120 reais
usb - 29 reais...

o nosso cliente não quer pagar essa conta... ainda.

mas onde dá já instalo ap, principalmente bullet2, ótima qualidade.

[jhonnymadia]

De nada adianta ter um custo mais baixo, e ter muita dor de cabeça depois, vc ganha no Kit mas perde em assistência, combustível, funcionários etc... Sugiro que aos poucos vá substituindo esses clientes USB e PCI e migre eles para um bairro próximo em um POP isolado, aqui estamos fazendo isso... os primeiros 70 ou 100 clientes foram com USB... conforme o capital foi retornando começamos à migrar para Rádio... e colocamos o controle de banda no Rádio do cliente e no server MK, de nada adianta vc ter um bom controle de QUEuE no MK se o cliente impestado derruba a torre lá na RB, o problema não é o controle no server do hotspot, vc tem que resolver na raiz... lá no cliente... coloca um rádio e controle de banda em todos.... Aí vc vai dormir mais sossegado... um abração à todos

[lipeiori]

Até agora nao vi esse problema de cliente com virus afetar o servidor... aqui é geral com placa e usb, apenas uns 3 com AP.

Devo estar com sorte, ou clientes sem virus no PC rsrs

[wppitp]

realmente é foda...

mas tenho sorte porque só aconteceu esse problema 3x nesse período.

o custo/benefício ainda é válido.

ap - 120 reais
usb - 29 reais...

o nosso cliente não quer pagar essa conta... ainda.

mas onde dá já instalo ap, principalmente bullet2, ótima qualidade.

Essa diferença de 91,00 reais, nao paga meu sono, se usar a plaquinha..

[agrinfo]

Cara eu usava placa e usb também.
Quase arranquei os cabelos da cabeça.
Solução, troquei tudo para Radinho (Edimax).
Hoje durmo tranquilo e a rede tá legal.

[guilhermeramires]

anarchist,

Você tá tendo um problema de camada 2. Nenhuma regra de camada 3 ou superior vai resolver seu problema. Você pode montar scripts que detectem quem tá fludando sua rede porém não reolve o problema. A solução pro seu problema é o seguinte: Cadastra seus clientes na access list do seu MK. Desabilita o "fowarding" e seta limites de AP TX Limit e Client TX Limit. Assim por mais que ele tente não vai conseguir inundar o canal wireless. Diante disso você pode implentar uma regra simples pra identificar os ips, ok?
Abs.

[Juniin]

Dia desses um cliente ligou: "por que minha net ficou tao lenta???"
Ai o rapaz foi lá, quando ligou o pc dele logo descobriu:virus. ligou e olhei a conexao desse cliente no controle do servidor,consumia todo up na queues, mesmo sem abrir nada ,nem uma pagina e mesmo assim consumia todo up liberado na queues . Fui no torch - na rb da torre- e tinha um monte de ips de virus.
Formatou o pc dele e tudo voltou ao normal para ele - para ele - porque para os outros nao tinha alterado nada com o virus no pc dele.

Bom todos os outros clientes estavam navegando tranquilamente, a rb tinha um consumo de 5%~8% e
tudo estava normal .

Acho que nao é possivel deixar um rede parar pq tem um individuo com virus . Quando isso acontece tem alguma coisa errada ...alguma coisa errada no conjunto, ap da torre ,firewall etc.

Aqui ta asssim: todos os clientes cadastrados no acess list - so conecta cadastrado - mascara 32, fowarding desmarcado, e regras de virus no firewall no servidor em baixo.
Espero ter ajudado...

Boa sorte

[agrinfo]

anarchist,

Você tá tendo um problema de camada 2. Nenhuma regra de camada 3 ou superior vai resolver seu problema. Você pode montar scripts que detectem quem tá fludando sua rede porém não reolve o problema. A solução pro seu problema é o seguinte: Cadastra seus clientes na access list do seu MK. Desabilita o "fowarding" e seta limites de AP TX Limit e Client TX Limit. Assim por mais que ele tente não vai conseguir inundar o canal wireless. Diante disso você pode implentar uma regra simples pra identificar os ips, ok?
Abs.

O problema é que o limite de Client TX Limit não funciona se o Rádio do Cliente não for Mikrotik.
Você já testou isso? Qual versão que você utilizou no teste?

[agrinfo]

De nada adianta ter um custo mais baixo, e ter muita dor de cabeça depois, vc ganha no Kit mas perde em assistência, combustível, funcionários etc... Sugiro que aos poucos vá substituindo esses clientes USB e PCI e migre eles para um bairro próximo em um POP isolado, aqui estamos fazendo isso... os primeiros 70 ou 100 clientes foram com USB... conforme o capital foi retornando começamos à migrar para Rádio... e colocamos o controle de banda no Rádio do cliente e no server MK, de nada adianta vc ter um bom controle de QUEuE no MK se o cliente impestado derruba a torre lá na RB, o problema não é o controle no server do hotspot, vc tem que resolver na raiz... lá no cliente... coloca um rádio e controle de banda em todos.... Aí vc vai dormir mais sossegado... um abração à todos

Foi exatamente assim que nós fizemos aqui e hoje eu até tiro férias, ahahahhaha.