PPPoE Mikrotik - Tráfego Anormal - Alguem explica?
Pessoal,
Uso pppoe na minha rede há um bom tempo.
Hoje ocorreu algo muito, mas muito estranho.
Em um POP, os clientes começaram a pingar super alto.... trafego anormal..... perda de pacotes... de uma hora pra outra.
Após procurar problemas, me deparei com o seguinte.
Uma interface pppoe (dinamica) de um cliente, tava com tráfego anormal.... 25MB de UPLOAD... 0K de DOWNLOAD (alternando entre 10 e 25MB), porém a QUEUES desse PPPOE é de 3MB e 1MB para UPLOAD....
A QUEUES estava UP.... em vermelho, porém na QUEUES não mostrava tráfego acima do que era estipulado, porém na interface mostrava tráfego altissimo.
Tiramos esse cliente da rede e agora tudo normalizou.
Alguém tem alguma idéia?
Equipamentos:
RB1100AHX2
Cliente: WOM5000 MIMO
Abraços
Re: PPPoE Mikrotik - Tráfego Anormal - Alguem explica?
O Wom5000 discando, ou em bridge?
Se for bridge, tem altas chances de ser malware, tráfego SNMP dependendo do cabeçalho não é barrado no limitador de tráfego, e o MK provavelmente não respondia esses pacotes por identificar ataque (Por isso 0KB de download), mas não tinha como evitar que os pacotes chegassem até ele.
Se a Wom5000 estava roteando, tinha senha não-padrão? Porque tem aqueles malwares que tentam mudar server DNS do que o sistema operacional do cliente enxerga, ou seja, tenta fuçar no primeiro roteador no caminho.
Pra mim isso está claro que era tráfego SNMP, se foi tentativa de ataque por malware ou bug em discador aí é outra estória, mas rede com AP compartilhado sempre vai sofrer com isso, o peso do pacote de dados do sistema operacional do cliente é pequeno, quem afoga os AP's e torna eles lentos (RocketM5 XM engasgando com 20 clientes de CCQ meia-boca) é o monte de pacote SNMP a toa, e reenvios de pacotes perdidos. Contra isso por enquanto não tem solução, só monitorar o tráfego como você fez.
(Digo, o que houver entre o cliente e o servidor de autenticação vai só trafegar tudo sem analisar, o servidor pode negar autenticação mas pra chegar até ele cada pacote já passou por parte da rede, já comeu tempo e processamento da etapa de RF)
Re: PPPoE Mikrotik - Tráfego Anormal - Alguem explica?
trafego de 25Mb em qual porta/protocolo?
Re: PPPoE Mikrotik - Tráfego Anormal - Alguem explica?
Citação:
Postado originalmente por
rubem
O Wom5000 discando, ou em bridge?
Se for bridge, tem altas chances de ser malware, tráfego SNMP dependendo do cabeçalho não é barrado no limitador de tráfego, e o MK provavelmente não respondia esses pacotes por identificar ataque (Por isso 0KB de download), mas não tinha como evitar que os pacotes chegassem até ele.
Se a Wom5000 estava roteando, tinha senha não-padrão? Porque tem aqueles malwares que tentam mudar server DNS do que o sistema operacional do cliente enxerga, ou seja, tenta fuçar no primeiro roteador no caminho.
Pra mim isso está claro que era tráfego SNMP, se foi tentativa de ataque por malware ou bug em discador aí é outra estória, mas rede com AP compartilhado sempre vai sofrer com isso, o peso do pacote de dados do sistema operacional do cliente é pequeno, quem afoga os AP's e torna eles lentos (RocketM5 XM engasgando com 20 clientes de CCQ meia-boca) é o monte de pacote SNMP a toa, e reenvios de pacotes perdidos. Contra isso por enquanto não tem solução, só monitorar o tráfego como você fez.
(Digo, o que houver entre o cliente e o servidor de autenticação vai só trafegar tudo sem analisar, o servidor pode negar autenticação mas pra chegar até ele cada pacote já passou por parte da rede, já comeu tempo e processamento da etapa de RF)
Grande Rubem
Então, a WOM5000 estava discando... PPPoE... ela era o roteador da rede do cliente.
com o problema atrapalhando todo mundo, optamos por desligar o cliente.
Hoje de manhã fomos no cliente... antena OK... computadores OK... CPE estava com senha, etc....
Ligamos o cliente e estamos monitorando pra saber se irá ocorrer novamente.
Re: PPPoE Mikrotik - Tráfego Anormal - Alguem explica?
Citação:
Postado originalmente por
AndrioPJ
trafego de 25Mb em qual porta/protocolo?
Com o desespero de normalizar a rede, nem analisamos a conexão individualmente..... mas era um tráfego que não passava pelo controle de banda.... como o Rubem mencionou, deve ser SNMP ... estamos monitorando pra ver se irá ocorrer novamente.
Será um bug na CPE?