+ Responder ao Tópico



  1. #1

    Padrão Tráfego indesejado em Ap Bridge Mikrotik RB 433

    Olá galera.

    Recentemente estou tendo problemas com as minha RB's que estão como ApBridge em 2.4, oque acontece.
    O numero de RX dos pacotes chega a passar de 4000 PP/S na interface de rede de entrada em todas as Bridges de uma vez. Isso acontece inúmeras vezes ao dia, comprometendo até a rede 5.8 que é encarregada dos Ponto a Ponto, pois satura os PPS do enlace.
    Pode ser vírus?
    Ataque de hacker?

    Ajudem por favor.

    Em anexo figura do Winbox com o torch rodando.

    Como podem observar isso está sendo gerado por: Eth Protocol 806 (arp)

    De que forma eu conseguiria bloquear todo esse tráfego?

    Só para constar já possuo filtros na bridge conforme o outro anexo.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         filter bridge.jpg
Visualizações:	288
Tamanho: 	100,6 KB
ID:      	37090   Clique na imagem para uma versão maior

Nome:	         bridge.jpg
Visualizações:	297
Tamanho: 	142,8 KB
ID:      	37091  


  2. #2

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    caro bennthiago
    eu uso esse comando:

    /ip firewall connection print count-only where assured=yes

    e geralmente ele é o mais correto.



  3. #3
    Analista de Suporte em TI Avatar de demattos
    Ingresso
    Jul 2011
    Localização
    Criciuma/SC
    Posts
    1.923
    Posts de Blog
    3

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    amigo o que esta ligado nesta eth1 desta rb, por que vindo dai.

  4. #4

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    Ao que tudo indica é virus cara,tivemos um problema bem parecido a pouco tempo e achamos o cliente,foi solicitado que formatasse a maquina e fim do problema.

    Abs.



  5. #5

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    Como esta ARP da Interface?

    Vc usa o controle de Aceitar Conex Validas, Relacionadas, Novas e Drop nas invalidas alem do bloqueio de todas as portas para input e liberar apenas o que voce deseja. o destino esta rota Default pelo que vi na img

  6. #6

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    wondernetwork obrigado pela resposta.

    este comando "/ip firewall connection print count-only where assured=yes" vc aplica na bridge ou no servidor ? Oque ele faz na verdade, me parece que é apenas para monitorar?
    Obrigado por enquanto



  7. #7

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    olá demattos.

    eth1 (faz parte da bridge) e está ligado o cabo de rede >>>switch>>>ptpCli>>>ptpAp>>>server

  8. #8

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    Olá Fernandols.

    Como conseguiram indentificar o cliente infectado?

    Abs.



  9. #9

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    Olá leoservice.

    ARP da interface está como enable em todas, sempre utilizei assim. O filtro de firewall conforme você citou eu faço no servidor e não na bridge.
    Minha rede é mista 2.4(placas pci e alguns rádios no clientes) e 5.8 (toda M ubiquiti). Pelo que andei percebendo em todas as bridges 2.4 sempre entram esse tráfego pela eth1 que é a interface de cabo de entrada e não pela wireless vindos dos clientes, logo, esse tráfego indesejável pode estar vindo de algum cliente em 5.8.

  10. #10

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    O que tem ligado na eth1 ?

    Uma vez tive um problema parecido, era um hub que estava jogando todo o trafego na rede de volta para a rb, vc pode ver que esse trafego não passa para a outra interface, é como se a rb ficasse escultando a sua rede.

    Veja se tem algum hub na sua rede e tente trocar o switch.



    Citação Postado originalmente por bennthiago Ver Post
    Olá galera.

    Recentemente estou tendo problemas com as minha RB's que estão como ApBridge em 2.4, oque acontece.
    O numero de RX dos pacotes chega a passar de 4000 PP/S na interface de rede de entrada em todas as Bridges de uma vez. Isso acontece inúmeras vezes ao dia, comprometendo até a rede 5.8 que é encarregada dos Ponto a Ponto, pois satura os PPS do enlace.
    Pode ser vírus?
    Ataque de hacker?

    Ajudem por favor.

    Em anexo figura do Winbox com o torch rodando.

    Como podem observar isso está sendo gerado por: Eth Protocol 806 (arp)

    De que forma eu conseguiria bloquear todo esse tráfego?

    Só para constar já possuo filtros na bridge conforme o outro anexo.



  11. #11

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    flaviorair.

    Esse problema não acontece apenas em uma bridge, e sim em 5 de uma só vez. Ora está normal, e ora começa todas ficam daquela forma, em horários diferentes mas todos os dias, logo, isso causa lentidão em toda a rede 2.4 e 5.8 e latência alta.

    Abs

  12. #12
    Analista de Suporte em TI Avatar de demattos
    Ingresso
    Jul 2011
    Localização
    Criciuma/SC
    Posts
    1.923
    Posts de Blog
    3

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    Olha tem forte suspeita q seja um maquina infectada com virus, vc tera que ir isolando analizando o trafego de todos os seus clientes por onde esta passando esta anomalia, so com trabalho de investigacao vc vai conseguir, como te disse tive um problema bem similar e era um cliente com virus. Hj minha rede esta toda roteada e com kit ap nos clientes felismente nao tive mais problema.



  13. #13

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    demattos

    Obrigado pela participação. Vou fazer um trabalho de investigação aqui na rede para ver como posso eliminar isso.

    Se alguém tiver alguma sugestão, postem aí pessoal.

    Abs

  14. #14

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    Citação Postado originalmente por bennthiago Ver Post
    demattos

    Obrigado pela participação. Vou fazer um trabalho de investigação aqui na rede para ver como posso eliminar isso.

    Se alguém tiver alguma sugestão, postem aí pessoal.

    Abs
    Olá amigo,é como o demattos falou o jeito que eu achei tbm foi na unha,vai isolando partes da sua rede e observe se o problema ainda persiste, so com investigação msm,uma sugestão se sua rede ainda é toda bridge assim que puder adote uma medida que estamos por fazer aqui que é começar a rotea-la o que ira trazer varios beneficios a mesma inclusive maior facilidade de achar esse tipo de problema ou mesmo que ele nem se propague pela rede,boa sorte aí.

    Abs.



  15. #15

    Padrão Re: Tráfego indesejado em Ap Bridge Mikrotik RB 433

    Dei uma investigada na rede e percebi que esses pacotes correm a rede toda e não só nas bridges, rodei um packet sniffer do mikrotik e achei um mac que não estou conseguindo identificar na rede. Segue link http://underlinux.org/f212/virus-ou-ataque-na-rede-158235/

    grato a todos que estão participando.
    Última edição por bennthiago; 29-06-2012 às 18:09.