Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Clientes com Uploud alto

    Bom dia pessoal,

    Estamos enfrentando um problema no provedor. O problema é o seguinte, em determinados momentos clientes passam a usar toda a banda de upload disponível entre eles e a estação, esse upload vai até o autenticador (pppoe), efetuamos visitas nestes clientes e alguns nem estavam utilizando o acesso. Não conseguimos identificar o porque. Isso acontece em clientes 2.4 e 5.8, AP UBNT e MK. Alguém já passou por isso!? Obrigado.

  2. #2

    Padrão Re: Clientes com Uploud alto

    o ips são públicos?? se sim sao ataque aconteceu comigo aqui tinha cliente q estava consumido mas 60 mega de upload

  3. #3

    Padrão Re: Clientes com Uploud alto

    Aqui tem acontecido isso mas foi virus. Ele não consegue sair pra fora fica atancando o servidor http.

  4. #4

    Padrão Re: Clientes com Uploud alto

    Provavelmente é virus. Mas também já vi placa de rede em curto causando upload alto e derrubando outros clientes da rede.

  5. #5

    Padrão Re: Clientes com Uploud alto

    Tem vários programas que fazer isso utorrent, ares e outras porcarias que os clientes gostam de instalar, mas vc fez avista. Pode ser ataques como amigo falow

  6. #6

    Padrão Re: Clientes com Uploud alto

    E aí Agner, alguma solução? Estamos passando por isso tbm. O que a gnt percebeu é que vem de clientes que usam produtos ubiquiti. Outras antenas não apresentam esse problema. Assim que dá um reboot na antena o upload para. E o cliente pppoe volta a conectar normalmente. A gnt acaba derrubando uns logins e o upload sobe em outros ips diferentes! Tá osso aqui!

  7. #7

    Padrão Re: Clientes com Uploud alto

    Boa tarde, obrigado a todos que mostraram interesse em ajudar. Aqui não temos padrão Verton, começou com um cliente 2.4 com ApRouter, depois disso notamos em clientes UBNT. Tentamos resetar antena pensando que poderia ser um worm mas sem sucesso, a característica do teu problema é muito semelhante ao nosso, não chega a sair da rede (saída pra internet (link)) mas causa um aumento de latência danado na rede e se o cliente tiver alguma noção logo percebe esse impacto. Ainda estou testando, não consegui descobrir se este upload está indo sempre para o mesmo destino. Qualquer novidade posto aqui, e espero o mesmo de vcs. Obrigado.

  8. #8

    Padrão

    Olha o que dá quando a gente joga um torch... ele envia esse upload, (que as vezes chega a dá 90mb) pra esse endereço!
    Quando isso vem de varios clientes, tem hora que a rede até para.

    Clique na imagem para uma versão maior

Nome:	         Torch.png
Visualizações:	117
Tamanho: 	5,2 KB
ID:      	57805


    Fui consultar o ip e a antena tá enviando pra uma empresa do canadá!

    http://www.tcpiputils.com/browse/ip-...104.193.95.255

    Realmente estamos sem saber o que fazer, a unica solução até agora é ficar derrubando os ips dos clientes, e depois abrir um atendimento --'

  9. #9

    Padrão Re: Clientes com Uploud alto

    Se for Windows, tem os serviços de rede, eles facilitam a vida do leigo encontrando computadores sozinho, mas atrapalha nesse caso.

    Um micro comum não tem nada de mais pra fazer isso, o cliente teria que colocar o micro como servidor DLNA (O Windows Media Player faz isso com 2 clicks), ou ativar qualquer busca de rede, não devia ocorrer em um horário específico, mas teria que ver melhor o que tem nesses clientes com trafego de upload alto.

    Esses clientes estão com AP em bridge? Se for, o trafego vem reto do PC. Se os equiptos dos cliente estão roteados, teria que ser algum software que requisita trafego do gateway e não que escaneia rede. Estaria mais pra horario de atualização do maldito e inútil windows update, de atualização de antivírus, algo do tipo (Alguns antimalware tem atualização varias vezes ao dia também), não devia ter trafego apenas de upload então é mais raro que seja isso. Mas... tem antivírus com inúteis ferramentas de rede que escaneiam a rede, o AVG e o Avast tem essa porcaria inútil (Como se algo deles fosse útil...), esse modulo sim gera mais trafego de uplaod que de download.

    Dá uma descrição detalhada do que 1 desses clientes tem, Win7 SP1 com WinUpdate, Avast com todos os modulos, Malwarebytes real-time ativo no tray, Windows Media Center até com atalho na area de trabalho indica uso grande dele, video-game ou smart-TV, p2p usado no cliente, essas coisas.

  10. #10

    Padrão Re: Clientes com Uploud alto

    No nosso caso os clientes estão com o pppoe direto nas antenas. Foi feito o teste presencialmente no cliente, e mesmo com o cabo do pc desligado, o pppoe do mesmo continuou com um upload absurdo de 30mb. Só resolveu depois que resetou a antena e reconfigurou. Agora imagina no nosso caso ter que ir em mais de 3000 clientes só pra fazer isso? E sabe um fato curioso? A gente foi bloqueando cliente por cliente e derrubando os que estavam com upload alto até que finalmente parou. Dps saimos desbloqueando um por um. Quando chegou nos últimos 3, não sei ao certo qual deles, só foi desbloquear o pppoe que do nada mais uns 20 surgiram com upload alto. Até agora não entendi isso. É como se um deles abrisse porta pra todos os outros!

  11. #11

    Padrão Re: Clientes com Uploud alto

    Eu até mandei uma foto com o grafico de um cliente e um link. Mas parece que foi pra moderação não sei... é normal isso?

  12. #12

    Padrão Re: Clientes com Uploud alto

    Se mesmo sem nada conectado a CPE gera trafego aí é problema de software e isso não é comigo.

    Mas... porque tem gente que colocar varios serves PPPoE na mesma RB? Não é pra evitar problemas do tipo?
    Não falo de 2 servers /24 ao invez de um /23 por questão de range, falo de 3 ou 4 servers /27 ao invez de um /24 por exemplo. Sempre achei curioso algumas pessoas citando que fazem isso pra ter menos problemas, nunca olhei bem que problemas.

  13. #13

    Padrão Re: Clientes com Uploud alto

    Bom dia, hoje pela manhã visitamos um cliente. Foi feito o seguinte teste, desligamos a lan da antena (ubnt) do roteador, eliminando a rede interna do cliente e a possibilidade de vírus/malware ou qualquer coisa do gênero do micro do cliente e o tráfego continuou altíssimo. Com picos de 20mb de upload. Agora temos a crtz que é algo relacionado ao software da antena, basta saber como resolver.

  14. #14

    Padrão

    Aqui hoje foi desesperador Agner!
    Esse teste a gente fez esses dias tbm. Tem algum virus nessas antenas que ficam enviando esse upload pro endereço: 104.193.92.87

    Tivemos que natear a rede até aparecer uma solução.

    Edit: Dá um torch no momento do upload e ver pra onde está enviando.
    Ah, outra coisa. Aqui vimos uma coisa em comum.
    Todos as antenas que estão sendo atacadas por esse "malware" , estão com senhas padrão ubnt/ubnt ou admin/1234
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         Untitled11.png
Visualizações:	91
Tamanho: 	28,2 KB
ID:      	57828  

  15. #15

    Padrão Re: Clientes com Uploud alto

    Boa tarde Verton,

    Através do torch já detectei tráfego para o ip 189.75.135.73 e para o mesmo do seu 104.193.92.87. Todas as antenas possuem senha de acordo com o código do cliente, nunca deixamos as senhas padrões. Agora vamos esperar ver o que a UBNT tem pra nós. Já existem vários casos. Preocupante. Obrigado pela atenção.

  16. #16

    Padrão Re: Clientes com Uploud alto

    Curioso, um IP é de uma ADSL da OI, conexão que raramente tem upload decente pra ser servidor de alguma ameaça além de um tweet chingando a mãe de gorda...
    E o outro IP é de um serviço Canadense de prevenção de DDoS: http://www.clear-ddos.com

    Dá pra pensar em bug de ferramenta de segurança (Do AirOS) criando isso, ao invez de ataque.

  17. #17

    Padrão Re: Clientes com Uploud alto

    Aqui só deu em equipamento Ubnt. O Jamie só mandou a gente atualizar as antenas e passar Skynet. E claro que não resolveu .... --'
    Última edição por Verton; 11-03-2015 às 15:14.

  18. #18

    Padrão Re: Clientes com Uploud alto

    Bom, aqui tivemos um ataque semelhante, hoje possuirmos AS com /21, tinha um cliente especifico, que estava gerando 60Mbps, com 40k de pps, porém analisando a rede, percebi que esse tráfego não chegava até o pppoe do cliente, até porque o cliente tem 512k de up, percebi que se referia a um ataque ddos com spoofing, onde o atacante estava requisitado vários pacotes para um servidor da amazon e estava utilizando nosso ip como origem no cabeçalho tcp, devido a fragilidade do protocolo BGP e do firewall, o único jeito para resolver este caso foi parar o anuncio de uma rede /24 onde estava o ip deste cliente para a internet, durante 24h ate o atacante desistir, depois ativei e voltou ao normal, eu digo fragilidade porque, pois mesmo bloquando o ip origem tanto como o destino no firewall, ele vai entrar na minha borda (BGP) e vai gerar trafego e depois ser negada no firewall, e devido a quantidade excessiva de pacotes o trafego era alto chegando até 60mbps, pode não ser o seu caso, mais já digo isso para nossos amigos do fórum ficarem cientes a este tipo de ataque.

    Agora no seu caso se você tem AS, você já tentou adicionar manualmente ambos ips de destino como blackhole na tabela de roteamento da sua borda? ou pelo menos dropar ambos no firewall?

  19. #19

    Padrão Re: Clientes com Uploud alto

    Citação Postado originalmente por Verton Ver Post
    No nosso caso os clientes estão com o pppoe direto nas antenas. Foi feito o teste presencialmente no cliente, e mesmo com o cabo do pc desligado, o pppoe do mesmo continuou com um upload absurdo de 30mb. Só resolveu depois que resetou a antena e reconfigurou. Agora imagina no nosso caso ter que ir em mais de 3000 clientes só pra fazer isso? E sabe um fato curioso? A gente foi bloqueando cliente por cliente e derrubando os que estavam com upload alto até que finalmente parou. Dps saimos desbloqueando um por um. Quando chegou nos últimos 3, não sei ao certo qual deles, só foi desbloquear o pppoe que do nada mais uns 20 surgiram com upload alto. Até agora não entendi isso. É como se um deles abrisse porta pra todos os outros!
    Verton

    Conseguiu resolver o problema.

    Caso não, como é sua estrutura, usa BGP e entrega IP Válido para cada cliente ou faz NAT?


    Anderson

  20. #20

    Padrão Re: Clientes com Uploud alto

    Conseguimos sim. Postei a solução no forum da Ubnt. Dá uma conferida lá!

    http://community.ubnt.com/t5/Portugu.../1212597#M3699