[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Fernando Frediani fhfrediani at gmail.com
Thu Dec 18 14:04:09 -02 2014


Ola João Carlos / Patrick,

Obrigado por compartilhar conosco a solução do seu problema, bastante 
discutido aqui na lista. Certamente sao esses tipos de experiências 
compartilhadas que fazem valer a pena participar deste fórum de discussão.

Com relacao ao equipamento esse Server-U ja conhecia porém nao a placa 
Chelsio T5.
A ultima vez que olhei este ServerU estava em dúvida se ele ja possuía 
hardware built-in capaz de fazer packet processing afinal de contas no 
site diz que possui a tecnologia Netmap (similar ao Intel DPDK), mas 
pelo que entendi é necessário colocar a placa Chelsio T5 para isso ?

Diz também no website do fabricante que o equipamento é "Netmap ready" 
apenas para FreeBSD.
Alguém tem experiência com a utilização deste equipamento com Linux (ou 
VyOS) e como isso se compara em termos de processamento de pacotes ? 
Alguma maneira de ter o Linux sendo capaz de utilizar Netmap (ou DPDK) 
mesmo que utilizando uma outra placa ?

Att.
Fernando

On 17/12/2014 21:13, Joao Carlos Peixoto Ponce wrote:
> Em quarta-feira, 3 de dezembro de 2014, Márcio Elias Hahn do Nascimento <
>
>> marcio at sulonline.net <javascript:_e(%7B%7D,'cvml','marcio at sulonline.net
>> ');>>
>> escreveu:
>>
>>>
>>> João, a título de curiosidade, que tipo de solução de firewall vc
>>> colocou na frente do seu router?
>>>
>>> Imagino que para barrar isso e não
>>> causar atrasos seja uma solução bem robusta.
>>>
>>> ---
>>>
>>> Att
>>>
>>> Márcio Elias
>>> Hahn do Nascimento
>>> (48) 8469-1819 / 3524-0700 -
>>> marcio at sulinternet.net
>>> GERÊNCIA DE RECURSOS DE TIC - Sul Internet [2]
>> Boa pergunta, tbm fiquei curio$o.
>>
>>
> Olá e
> Desculpem a demora.
>
> Aproveito a pergunta para agradecer publicamente ao Patrick Tracanelli que
> se dispos a muito para me ajudar.
> Quando meu problema estava sério e eu com uma boa conta diária a pagar por
> uma box alugada da GLBX ele interviu e conseguiu emprestado uma placa
> Chelsio T5 direto do Fabricante.
> Se dispos a vir até minha empresa, sem custos (paguei apenas
> transporte/hospedagem) e trouxe uma máquina dele, a famosa e aqui citada
> várias vezes ServerU L-800.
> Bom o resultado foi que eu consegui segurar e fazer muito mais com essa
> dupla L800+T5 em um FreeBSD.
> Então respondendo as dúvidas, esse é o meu firewall, um freebsd, que depois
> dos 3.1Mpps já filtrou um novo pico de 4Mpps quando o ataque mais se
> consolidou.
> No meu cenário, eu só precisava de algo segurando o ataque contra meu
> Juniper e resolveu.
> Meu negócio fim é voz sobre IP e SalesForce. Na verdade não o meu mas o de
> meu maior cliente, uma multi-nacional. O entupimento da minha largura de
> banda na entrada nunca foi um problema então um firewall "em casa"
>   resolveu meu problema.
>
> Sugiro ao Patrick fortemente que exponha ao grupo, quem sabe em um futuro
> encontro GTER, essa solucão. Pode contar comigo no estudo de caso.
>
> Aproveito também para ajudar todos os demais que me ajudaram ou tentaram
> ajudar. Temos ótimos especialistas em Juniper por aqui e fico feliz. Meu
> problema se resolveu quase que em sua totalidade após downgrade do Juniper.
> O que me acometeu não consta em nenhum bug formal da Juniper mas ao fazer
> downgrade como sugerido/instruito pelo Rodrigo, resolveu o maior problema
> de excesso de CPU/interrupcão quando desativava o firewall.
> Depois o Diogo, e outros tantos tentaram me ajudar diagnosticar o problema
> residual quando a taxa de pps ficava acima de 600Kpps mas a verdade é que
> ontem fez exatamente 1 semana que os ataques simplesmente pararam.
> Ou seja com ou sem firewall o volume de ataque não chega mais.
> Então os últimos comandos e tentativas de ajuda eu não consegui até hoje
> executar.
> Já que sem ataque ou com firewall ligado o MX/5 segue de vento em poupa.
> Hoje já fiz a aquisicão tanto da L800 quanto da Chelsio e fazem parte do
> meu arsenal de crise.
> Espero nunca mais precisar usar esses equipamentos pra essa finalidade mas
> se precisar sei que bastará ligar a energia.
> Pois está em bridge na frente do meu router.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list