Suspeita de Flood na minha rede

[mardemm]

Entao pessoal meu pop eh assim:

2 ap2000 com os quatro cartoes, uma em cada setorial, hyperlink de 17 dbi (nao uso amplificador antes que me crucifiquem ) e link dedicado 1,5 mbps, sendo que mostrarei a vcs todos os mrtg... Porem nas antenas esta dando um imenso trafego (chega a 10mb) que nao acusa no link total, nem as interfaces de rede dos aps...e alguns clientes começam a perder pacotes nessas horas... vejam abaixo, o que pode ser isso???

Antena Setorial 1: http://www.bigturbo.com.br/setorial1.png
Antena Setorial 2: http://www.bigturbo.com.br/setorial2.png
Antena Setorial 3: http://www.bigutrbo.com.br/setorial3.png
Antena Setorial 4: http://www.bigturbo.com.br/setorial4.png

Essas sao as interfaces wireless (dos cartões) e notem que tem horas que vai a quase 10 megas...

Interface de rede ap1: http://www.bigturbo.com.br/ap1.png
Interface de rede ap2: http://www.bigturbo.com.br/ap2.png

No servidor linux

Eth0: http://www.bigturbo.com.br/eth0.png
Eth1: http://www.bigturbo.com.br/eth1.png

Agora nas interfaces de redes aqui nao acusa esse trafego que tem nos cartoes, de modo que nao chega no servidor...

Da forma que esta deveria estar redondo, mas quando aparece este trafego nos cartoes, fica uma m... estou ficando maluco aqui pessoal.... .... Eu acho que eh flood ou alguem fazendo p2p, qual seria a solução, se ja aconteceu com alguem...

[roneyeduardo]

Cara, é o seguinte, eu acho que seu controle tá funfando só quando chega no servidor, mas até os APs a galera deve estar socando....

Pelo que eu vi, o que tá alto é a linha azul (que acho que indica download)...Tem que ver o seguinte cara:

Seus clientes podem estar com vírus, spywares, e outros bagulhos como p2p e tals...ai eles estão mandando um alto tráfego para os APs...quando bate no servidor, seus bloqueios e controles aguentam a situação e não deixa isso saturar seu link de Internet...Mas os APs estão lá, recebendo um tráfego intenso! Então eles vão abrir o bico né?!

O que seria interessante era você tentar, de alguma forma, controlar o tráfego na saída do cliente....tipo, tenta identificar quais clientes estão causando isso ai, e tenta colocar um AP como o Zinwell G-120 ou o Ovislink, que faz controle de banda nas interfaces e também faz bloqueio de portas...

[LeoSuporte]

Caro Mardem,

Pelo que pude perceber você está tendo problemas em sua "rede local" ou tem clientes brincando com sniffers ou tráfegando dados sem você perceber, notei que usa o AP-2000 dentro dele temos um controle de portas que pode impedir este tráfego, até mesmo jogos em rede local dão lag´s insustentaveis a sua rede.
O que pode ser feito é o que nosso amigo acima citou, gerar gráficos diretamente em seus clientes, para isso teria que suar "bridges" a ficar transparente para poder chegar até a interface de seu cliente e não "morrer" até o client que ele está utilizando. Ou seja bridges que são comuns hoje no mercado (ovislink, edimax) não são transparentes a fins de repassarem o mac address do cliente, deixando uma certa vulnerabilidade em sua rede. você pode também colocar bridges como o KODAMA-KOD770 que pode fazer um controle de banda diretamente na itnerface como citado acima. Hoje em dia também temos muitos servidores que conseguem amarrar o trafego de clientes setando mascaras 255.255.255.252 limitando ip/mac (Server/client) somente.
O que você pode estar fazendo de imediato é gerar gráficos nos clientes e ver quem realmente está "floodando" ou até mesmo "jogando" em sua rede.
Outra solução tbm é gerar gráficos em cima das portas mais utilizadas por programas P2P e até mesmo dos jogos.
Você já sabe qual o AP que está dando picos? já conseguiu identificar de qual ponto vem este pico? uma outra alternativa não muito eficaz é ir desconectando os clientes na hora do pico até chegar ao veredito.
Bom, espero poder ter lhe ajudado, e poste para nós todas as mudanças efetuadas.

abraços.

[oyama]

Pelo que vi, seus clientes "Espertinhos" deve esta rodando uma rede local usando seus ap como meio de transmissão (desta forma nao passa pelo server), Veja a opção intrabsd que bloqueia o acesso entre clientes.