форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Загрузка процессора - 100%!"
Сообщение от wyvern (ok) on 02-Фев-05, 11:00  (MSK)
Привет всем! У меня тут такая проблема - DOSит меня кто-то что ли? Примерно через 8 часов после перезагрузки киска 3660 начинает безбожно тормозить. sh proc cpu выдает .... ....99% IP Input... Если задаунить внешний интерфес, нагрузка сразу же падает до 1%. После перезагрузки - загрузка 4%, но это не надолго.... Что- бы это могло быть?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Загрузка процессора - 100%!"
Сообщение от ВОЛКА on 02-Фев-05, 11:13  (MSK)
вирус у вас в локалке...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Загрузка процессора - 100%!"
Сообщение от Simps (??) on 02-Фев-05, 11:13  (MSK)
>Привет всем! У меня тут такая проблема - DOSит меня кто-то что >ли? >Примерно через 8 часов после перезагрузки киска 3660 начинает безбожно тормозить. sh >proc cpu выдает >.... >....99% IP Input... >Если задаунить внешний интерфес, нагрузка сразу же падает до 1%. >После перезагрузки - загрузка 4%, но это не надолго.... > >Что- бы это могло быть? ip cef какое нить включено ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Загрузка процессора - 100%!"
	Сообщение от wyvern (??) on 02-Фев-05, 11:17  (MSK)
	>>Привет всем! У меня тут такая проблема - DOSит меня кто-то что >>ли? >>Примерно через 8 часов после перезагрузки киска 3660 начинает безбожно тормозить. sh >>proc cpu выдает >>.... >>....99% IP Input... >>Если задаунить внешний интерфес, нагрузка сразу же падает до 1%. >>После перезагрузки - загрузка 4%, но это не надолго.... >> >>Что- бы это могло быть? > >ip cef какое нить включено ? ip cef включенный, мне сказали, что это необходимо для подсчета сетевого трафика при NATе.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Загрузка процессора - 100%!"
	Сообщение от sh_ (??) on 02-Фев-05, 11:43  (MSK)
	Вам же сказали - у вас вирус. Напишите acl, который будет дропать пакеты сканирующие сети. Скорее всего это будут порты аля 135, 445, 139... Сниффером посмотрите...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Загрузка процессора - 100%!"
	Сообщение от Юрий Клименко on 02-Фев-05, 12:10  (MSK)
	>Вам же сказали - у вас вирус. Напишите acl, который будет дропать >пакеты сканирующие сети. Скорее всего это будут порты аля 135, 445, >139... Сниффером посмотрите... не поможет  ему acl. 36-я умрет и от acl тоже. решение одно - выкидывать 36-ю , и ставить машину которая сможет справится с нагрузкой. Ну или искать/отключать того кто флудит.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Загрузка процессора - 100%!"
	Сообщение от sh_ (??) on 02-Фев-05, 12:19  (MSK)
	>>Вам же сказали - у вас вирус. Напишите acl, который будет дропать >>пакеты сканирующие сети. Скорее всего это будут порты аля 135, 445, >>139... Сниффером посмотрите... > > >не поможет  ему acl. >36-я умрет и от acl тоже. > Готов поспорить...:) >решение одно - выкидывать 36-ю , и ставить машину которая сможет справится >с нагрузкой. Ну или искать/отключать того кто флудит.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Загрузка процессора - 100%!"
	Сообщение от wyvern (??) on 02-Фев-05, 13:40  (MSK)
	>>>Вам же сказали - у вас вирус. Напишите acl, который будет дропать >>>пакеты сканирующие сети. Скорее всего это будут порты аля 135, 445, >>>139... Сниффером посмотрите... >> >> >>не поможет  ему acl. >>36-я умрет и от acl тоже. >> >Готов поспорить...:) > >>решение одно - выкидывать 36-ю , и ставить машину которая сможет справится >>с нагрузкой. Ну или искать/отключать того кто флудит. Мне что, попробовать в acl перекрыть указанные порты?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Загрузка процессора - 100%!"
	Сообщение от wyvern (??) on 02-Фев-05, 13:38  (MSK)
	>>Вам же сказали - у вас вирус. Напишите acl, который будет дропать >>пакеты сканирующие сети. Скорее всего это будут порты аля 135, 445, >>139... Сниффером посмотрите... > > >не поможет  ему acl. >36-я умрет и от acl тоже. > >решение одно - выкидывать 36-ю , и ставить машину которая сможет справится >с нагрузкой. Ну или искать/отключать того кто флудит. Какую машинц посоветуете?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Загрузка процессора - 100%!"
	Сообщение от SergT (ok) on 02-Фев-05, 13:41  (MSK)
	ip access-list extended not_virus deny   tcp any any eq 4444 log deny   tcp any any eq 69 log permit ip any any interface FastEthernet0/0 ip access-group not_virus in
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Загрузка процессора - 100%!"
	Сообщение от Юрий Клименко on 02-Фев-05, 14:40  (MSK)
	> >Какую машинц посоветуете? Начиная от RSP2 и выше. (rsp2 - пограничный вариант лучше выше) У меня неплохо справляется в полутепличных условиях RSM (rsp2) а rsp4 на 7500 держит нагрузку и поболее. Теперь для сомневающихся и верущих в acl , cisco , и в особенности в 36-ю серию оной. не забывайте что для acl нужен процессор, а его нехватает уже на IP Input. В качестве теста используем: http://www.security.nnov.ru/files/stream3.c Защитится удается только в том случае  когда используются random source адреса. ( ip verify unicast reverse-path спасает) Если посылать пакеты с "правильного" ip на адрес маршрутизатора то cisco прекращает передавать пакеты (загрузка проца 100%, в случае с 36-й серией на консоли реакчции нет :) Использование tcp intercept & cbac дает обратный желаемому результат - проца не хватает. Атакующая машина подключена напрямую к роутеру на 100мб. Удачи всем проверяющим :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Загрузка процессора - 100%!"
	Сообщение от Rimon on 05-Фев-05, 11:55  (MSK)
	>Вам же сказали - у вас вирус. Напишите acl, который будет дропать >пакеты сканирующие сети. Скорее всего это будут порты аля 135, 445, >139... Сниффером посмотрите... ACL не поможет если локалка винды. Там там весь процесс общения WS с сериером построен на 135, 139, 137. так что непоможет. И замена машины тоже т.к. если сидит в локалке Blast, он и 7200 загрузит. Только снефером, найти гада и убить
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Загрузка процессора - 100%!"
	Сообщение от TaranTuL on 05-Фев-05, 13:28  (MSK)
	>>Вам же сказали - у вас вирус. Напишите acl, который будет дропать >>пакеты сканирующие сети. Скорее всего это будут порты аля 135, 445, >>139... Сниффером посмотрите... > > >ACL не поможет если локалка винды. Там там весь процесс общения WS >с сериером построен на 135, 139, 137. так что непоможет. И >замена машины тоже т.к. если сидит в локалке Blast, он и >7200 загрузит. >Только снефером, найти гада и убить Если к 7200 по 100Мбит каналу, то не загрузит. Особенно если 7200 с NPE-G1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.