Witam,

Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?

W kierunku naszych serwerów www, właśnie z AC-Xa, z różnych sieci
(potwierdzone przez NOC), wygląda na to, że także ze styku z PLIXem
(sądząc na podstawie MAC adresu), dociera sporo ruchu z takiej adresacji.

Czy to jest norma?

Pozdrawiam i z góry dzięki za poświęcony czas. :)

--
Sławomir Lipowski
http://lipowski.org

do góry

On Tue, 02 Nov 2010 21:02:42 +0100, Sławek Lipowski napisał:
> Witam,
>
> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>
> W kierunku naszych serwerów www, właśnie z AC-Xa, z różnych sieci
> (potwierdzone przez NOC), wygląda na to, że także ze styku z PLIXem
> (sądząc na podstawie MAC adresu), dociera sporo ruchu z takiej adresacji.
>
> Czy to jest norma?
>
> Pozdrawiam i z góry dzięki za poświęcony czas. :)

Tnij na wejściu.

--
#begin 755 signature.exe
[tomek <at> sikornik <dot> net] vy 73! de SP9UOB
Proud to be 100 percent microsoft free. op. Tomek

do góry

W dniu 02.11.2010 21:04, Verox pisze:
> On Tue, 02 Nov 2010 21:02:42 +0100, Sławek Lipowski napisał:
>> Witam,
>>
>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>
>> W kierunku naszych serwerów www, właśnie z AC-Xa, z różnych sieci
>> (potwierdzone przez NOC), wygląda na to, że także ze styku z PLIXem
>> (sądząc na podstawie MAC adresu), dociera sporo ruchu z takiej adresacji.
>>
>> Czy to jest norma?
>>
>> Pozdrawiam i z góry dzięki za poświęcony czas. :)
>
> Tnij na wejściu.
>

Jasne, tylko raz, że tego jest naprawdę sporo i generuje to jakieś tam
obciążenie firewalli, dwa, że chciałbym potwierdzić, że nie ma to
żadnego negatywnego wpływu na pozostały ruch.

Trochę sobie tego złapałem do analizy i z tego co na razie widzę,
zdarzają się pakiety z ustawionymi flagami RST i ACK (seq=2 ack=1), ale
generalnie są to pakiety z ustawionymi flagami FIN i ACK (seq=1 ack=1).
Wygląda to więc jak próba zamknięcia połączenia TCP. Jeśli z jakiegoś
powodu po stronie sieci użytkownika odwiedzającego nasze strony ruch ten
nie jest NATowany na prawidłowy IP i jest przez nas porzucany, to
połączenia TCP z naszymi serwerami www mogą nie być zamykane prawidłowo,
co może generować pewne problemy...

--
Sławomir Lipowski
http://lipowski.org

do góry

W dniu 02.11.2010 21:57, Sławek Lipowski pisze:

> Jasne, tylko raz, że tego jest naprawdę sporo i generuje to jakieś tam
> obciążenie firewalli, dwa, że chciałbym potwierdzić, że nie ma to
> żadnego negatywnego wpływu na pozostały ruch.
>
Jakich firewalli jeśli tniesz bogony w filtrach bgp (a przynajmniej się
powinno)?

Pozdrawiam
Daniel

do góry

W dniu 2010-11-02 22:04, Daniel pisze:
> W dniu 02.11.2010 21:57, Sławek Lipowski pisze:
>
>> Jasne, tylko raz, że tego jest naprawdę sporo i generuje to jakieś tam
>> obciążenie firewalli, dwa, że chciałbym potwierdzić, że nie ma to
>> żadnego negatywnego wpływu na pozostały ruch.
>>
> Jakich firewalli jeśli tniesz bogony w filtrach bgp (a przynajmniej się
> powinno)?
>
Raczej chodzi o to że pakiety przychodzą, a nie o to że "przychodzi" w BGP.

--
[WRC] Biały Scenic 2000 1,9 dTI
CB: Intek M-490 ML 145

+-=-=-=-=-=-=-=- Przemysław Gubernat -=-=-=-=-=-=-=-=-=-=-=-+
| _API Internet_ A. Stolarczyk i P. Gubernat Spółka Jawna |
+-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-+

do góry

On Tue, 02 Nov 2010 21:57:34 +0100, Sławek Lipowski napisał:
> W dniu 02.11.2010 21:04, Verox pisze:
>> On Tue, 02 Nov 2010 21:02:42 +0100, Sławek Lipowski napisał:
>>> Witam,
>>>
>>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>>
>>> W kierunku naszych serwerów www, właśnie z AC-Xa, z różnych sieci
>>> (potwierdzone przez NOC), wygląda na to, że także ze styku z PLIXem
>>> (sądząc na podstawie MAC adresu), dociera sporo ruchu z takiej adresacji.
>>>
>>> Czy to jest norma?
>>>
>>> Pozdrawiam i z góry dzięki za poświęcony czas. :)
>>
>> Tnij na wejściu.
>>
>
> Jasne, tylko raz, że tego jest naprawdę sporo i generuje to jakieś tam
> obciążenie firewalli, dwa, że chciałbym potwierdzić, że nie ma to
> żadnego negatywnego wpływu na pozostały ruch.

Ale po co Ci firewall jak _powinieneś_ to wyciąć na filtrach od BGP?


--
#begin 755 signature.exe
[tomek <at> sikornik <dot> net] vy 73! de SP9UOB
Proud to be 100 percent microsoft free. op. Tomek

do góry

On Tue, 02 Nov 2010 22:04:53 +0100, Daniel napisał:
> W dniu 02.11.2010 21:57, Sławek Lipowski pisze:
>
>> Jasne, tylko raz, że tego jest naprawdę sporo i generuje to jakieś tam
>> obciążenie firewalli, dwa, że chciałbym potwierdzić, że nie ma to
>> żadnego negatywnego wpływu na pozostały ruch.
>>
> Jakich firewalli jeśli tniesz bogony w filtrach bgp (a przynajmniej się
> powinno)?

O właśnie.


--
#begin 755 signature.exe
[tomek <at> sikornik <dot> net] vy 73! de SP9UOB
Proud to be 100 percent microsoft free. op. Tomek

do góry

W dniu 02.11.2010 22:04, Daniel pisze:
> W dniu 02.11.2010 21:57, Sławek Lipowski pisze:
>
>> Jasne, tylko raz, że tego jest naprawdę sporo i generuje to jakieś tam
>> obciążenie firewalli, dwa, że chciałbym potwierdzić, że nie ma to
>> żadnego negatywnego wpływu na pozostały ruch.
>>
> Jakich firewalli jeśli tniesz bogony w filtrach bgp (a przynajmniej się
> powinno)?
>
> Pozdrawiam
> Daniel

BGP nie ma tu nic do rzeczy. Mam styk w L2 z sieciami, które kierują do
mnie pakiety IP z adresami żródłowymi jak w temacie. Jeśli chcieć, żeby
mi to nie trafiło na farmę www, trzeba by to jednak upuścić na firewallu
jakimś. ;)

Jednak aktualnie większym zmartwieniem jest dla mnie to, że w wyniku tej
nieprawidłowości mogą nie być prawidłowo zamykane połączenia tcp do
farmy www... :\

Jak by ktoś z uczestników AC-Xa w L2 mógł przeanalizować, czy obserwuje
u siebie podobny ruch, byłbym wdzięczny.

--
Sławomir Lipowski
http://lipowski.org

do góry

W dniu 02.11.2010 22:19, Verox pisze:
> On Tue, 02 Nov 2010 21:57:34 +0100, Sławek Lipowski napisał:
>> W dniu 02.11.2010 21:04, Verox pisze:
>>> On Tue, 02 Nov 2010 21:02:42 +0100, Sławek Lipowski napisał:
>>>> Witam,
>>>>
>>>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>>>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>>>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>>>
>>>> W kierunku naszych serwerów www, właśnie z AC-Xa, z różnych sieci
>>>> (potwierdzone przez NOC), wygląda na to, że także ze styku z PLIXem
>>>> (sądząc na podstawie MAC adresu), dociera sporo ruchu z takiej adresacji.
>>>>
>>>> Czy to jest norma?
>>>>
>>>> Pozdrawiam i z góry dzięki za poświęcony czas. :)
>>>
>>> Tnij na wejściu.
>>>
>>
>> Jasne, tylko raz, że tego jest naprawdę sporo i generuje to jakieś tam
>> obciążenie firewalli, dwa, że chciałbym potwierdzić, że nie ma to
>> żadnego negatywnego wpływu na pozostały ruch.
>
> Ale po co Ci firewall jak _powinieneś_ to wyciąć na filtrach od BGP?
>
>

RSy AC-Xa nie rozgłaszają mi takich tras, więc nie ma czego filtrować
nawet. Szczerze, to nie za bardzo wiem, o co Ci chodzi. :) Przecież to,
co dostaje z BGP i co trafia do mojej tablicy rutingu, a to, jaki adres
IP mogą mieć pakiety trafiające na dany interfejs, to są niezależne
rzeczy...

--
Sławomir Lipowski
http://lipowski.org

--
Sławomir Lipowski
http://lipowski.org

do góry

Dnia 02.11.2010 Sławek Lipowski <s...@l...org> napisał/a:

> Jednak aktualnie większym zmartwieniem jest dla mnie to, że w wyniku tej
> nieprawidłowości mogą nie być prawidłowo zamykane połączenia tcp do
> farmy www... :\

Samo zjawisko przeciekania pakietów z prywatnym IP źródłowym to nic nowego.
Kiedyś na pewnym rekursywnym serwerku DNS analizowałem ruch i było tego całkiem
sporo. ;)
Oczywiście, nie ma sensu próbować przetwarzać żądania od kogoś, do kogo odpowiedź na
pewno nigdy nie dotrze.


--
Paweł Małachowski

do góry