[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

[Rubens Kuhl]

>
> Variando de 300 a 360Mbit/s por porta de tráfego quando o ataque chega a
> mim.
> De 860Kpps a 1.3Mpps por porta.
> Ja tive picos de 2Mpps por porta.
>

Algo estranho aqui: o máximo de Gigabit Ethernet com o inter-frame-gap
padrão é 1.488 Mpps. Mais do que isso só violando ou o IFG ou minimum frame
size, o que raramente um equipamento de operadora vai estar configurado
para fazer.

Tem certeza que isso é por porta e não pelo grupo de portas ? Tá muito
estranho.




> Ja tive trafego de até 1.6Mpps por porta para pacotes TCP bem pequenos, na
> casa de 200 bytes, em momentos de menor tempestade, trafego muito estranho
> mas nada perto da dor de cabeça que estou tendo agora e o load e carga se
> mantinham em patamares bem confortáveis que me faziam pensar que poderia
> chegar tranquilamento a 2Mpps por porta, mesmo que pra isso tivessem que
> ser pacotes de 90, 100 bytes, incomum e sintoma de algo errado mas numa
> regra de 3 simples seria suficiente.


Como o IFG é medido em milisegundos, não é uma regra de três. Tem que
calcular corretamente o tráfego útil.


> Mas a realidade é diferente da teoria
> e 860Kpps de UDP nesses tamanhos estranhos estão afundando o router.
> É com base no que tenho agora e o que tive no passado que vejo que não é
> esgotamento da porta. Além das estáticas de consumo de interrupt e kernel
> que voce esta vendo ao longo dos e-mails.
>

Realmente tem algo estranho no comportamento do roteador, mas os números de
tráfego por porta que você tem citado são tão ilógicos que não permitem nem
dizer que não haja esgotamento de porta nem que haja.

Não não está ligado, foi uma hipótese de balanceamento. no momento está na
> base do LACP.


O LACP vai definir como é o balanceamento de frames dentro do link-bundle,
mas há algum recurso de roteamento que requeira algo diferente de uma
decisão de filtro ou roteamento ? NAT ? Traffic sampling ? Netflow sem usar
o flow processing por hardware ?


Rubens