[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC
Diogo Montagner
diogo.montagner at gmail.com
Sat Nov 22 21:57:49 -02 2014
Se o problema é CPU e o interrupt está alto, você pode estar sofrendo de um
ataque de arp em alguma interface.
Procure por arp storm.
Talvez show ddos-protection protocols violations irá mostrar algo.
[]s
./diogo -montagner
JNCIE-SP 0x41A
2014-11-23 5:10 GMT+08:00 Rubens Kuhl <rubensk at gmail.com>:
> >
> >
> > term DDoSNovembAsiaEuro {
> > family inet {
> > from {
> > protocol udp;
> > destination-port 37000-49999;
> > packet-length 34-46;
> > }
> > then { discard; };
> > }
> > }
> >
> > O consumo de CPU sobe muito em especial com o "set packet-length 34-46".
> >
> >
> Como está aplicado esse filtro na interface ?
>
>
> > So pra referencia, durante o ataque sem o filtro do MX/40 do lado GLBX,
> ou
> > seja com o ataque de fato passando pelo meu MX/5 a minha carga fica assim
> > no RE0:
> >
> > Routing Engine status:
> > Slot 0:
> > Current state Master
> > Election priority Master (default)
> > Temperature 59 degrees C / 138 degrees F
> > CPU temperature 63 degrees C / 145 degrees F
> > DRAM 3584 MB
> > Memory utilization 69 percent
> > CPU utilization:
> > User 24 percent
> > Background 14 percent
> > Kernel 25 percent
> > Interrupt 36 percent
> >
>
> Tem algo muito errado aqui. Quer seja sendo roteado ou descartado, isso não
> deveria estar indo pra RE. Tem algo na sua configuração que está
> transformando o MX num série J e fazendo a CPU ser responsável por rotear.
> Pode ser o WFQ citado no outro post, pode ser outra coisa.
>
> No MX5 tem algo tipo show chassis pfe / feb / scb / ssb ? Deve ter um
> deles e não os outros.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list