[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC
Joao Carlos Peixoto Ponce
jocapponce at gmail.com
Sat Nov 22 23:46:51 -02 2014
2014-11-22 19:00 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:
> >
> > Que me conste portas de 10G somente a partir do MX/40.
> > Não entendi seu calculo mas não tenho apenas 1 porta ou 2 portas.
> > Inicialmente estava em 3x1G para os upstream e 4x1 para minha LAN.
> >
>
> Balanceamento de porta IP é feito para evitar dessequenciamento de pacotes,
> então dependendo do perfil de tráfego poderá ir tudo para uma única porta.
> Assim, um tráfego de 1.1G pode saturar um port-bundle de n x 1G.
>
OK, só não é o que está acontecendo.
> Além disso, uma porta Giga não consegue transmitir 1 Gbps de pacotes
> > > pequenos. Por causa do inter-frame gap, uma porta giga transmite algo
> 600
> > > Mbps de pacotes desse tamanho se fiz as contas direito.
> > >
> >
> > OK, não é o que está acontecendo de qualquer forma.
> >
> >
> Porque você diz isso ? Quantos Mpps em cada interface física nos momentos
> de ataque ?
>
Variando de 300 a 360Mbit/s por porta de tráfego quando o ataque chega a
mim.
De 860Kpps a 1.3Mpps por porta.
Ja tive picos de 2Mpps por porta.
Ja tive trafego de até 1.6Mpps por porta para pacotes TCP bem pequenos, na
casa de 200 bytes, em momentos de menor tempestade, trafego muito estranho
mas nada perto da dor de cabeça que estou tendo agora e o load e carga se
mantinham em patamares bem confortáveis que me faziam pensar que poderia
chegar tranquilamento a 2Mpps por porta, mesmo que pra isso tivessem que
ser pacotes de 90, 100 bytes, incomum e sintoma de algo errado mas numa
regra de 3 simples seria suficiente. Mas a realidade é diferente da teoria
e 860Kpps de UDP nesses tamanhos estranhos estão afundando o router.
É com base no que tenho agora e o que tive no passado que vejo que não é
esgotamento da porta. Além das estáticas de consumo de interrupt e kernel
que voce esta vendo ao longo dos e-mails.
> > Se for um bom número dos IPs, usar loose-mode RPF poder ajudar. Eu tenho
> > > impressão que a proporção não vai compensar, mas é uma tentativa.
> > >
> > >
> > rfp-check ja estava habilitado e mode ja está loose.
> >
> >
> Então veja se desabilitar vai te dar mais capacidade de resposta...
>
Anotado, estou com uma janela amanha de manha para retirar o MX/40
temporariamente de forma que o ataque de novo passar direto pra mim. Estou
com diversas changes pra testar se fazem efeito e retorno para a lista se
algo funcionar.
> >
> > Como a ALGAR caiu fora no meu cenário a GLX já se posicionou de forma a
> me
> > permitir fechar com eles 2 ou 3 portas de 1Gbit, como chega nos viramos
> com
> > wfq por pacote ou qualquer outro balancing ou BGP mesmo que seja.
> >
> >
> >
> WFQ ? Tem certeza que tem isso ligado ? Isso é tipicamente um matador de
> roteadores por hardware.
>
Não não está ligado, foi uma hipótese de balanceamento. no momento está na
base do LACP. Quando eu falei isso meu cenário era um agora ja é outro,
estou com GLBX e GVT internacional basicamente e ALGAR passamos a anunciar
apenas o prefixo mais abrangente.
Meu problema na GVT é o mesmo mas com eles conseguimos filtrar Europa e
Asia e deixamos américas e africa apenas. Me parece que eles tem community
por países vou testar isso tambem e anunciar seletivamente pro mundo. Tudo
meio capenga por aqui :-(
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list