[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Mon Nov 24 09:56:57 -02 2014


> On 23/11/2014, at 19:12, Joao Carlos Peixoto Ponce <jocapponce at gmail.com> wrote:
>> 
>> Adicione aos comandos pra você coletar pra gente, o seguinte:
>> 
>> show security idp status
>> show security idp counters packet
>> show security idp counters ips
>> show security idp attack table
>> show security idp qmodule statistics
>> request security idp security-package install detail-status
>> request pfe execute command "show usp idp status" target fwdd
>> 
> 
> Olha.
> Vou responder rapidamente. Consegui gerar todos essas saídas e optei por
> enviar em PVT para as pessoas que quiserem me ajudar.
> Algumas das saídas são enormes.

OK pode enviar nesse mesmo e-mail. 

>> 
>> procure por: "jbuf pullup failed"
>> 
> 
> 
> Meu contador de jbuf pulp failed é um valor muito estranho
> Eu diria que é alto mas e excessivamente baixo
> Ou seja abaixo de zero veja o trecho:
> 
> jbuf pullup failed                                          -1603851390791

Opa! Espera ai, então isso é um pouco diferente do seu diagnostico inicial. Você disse que a L3 está filtrando pacotes de 34-46 bytes e isso está resolvendo? Tem certeza que eles estão filtrando por iplen? Olha, esse contador incrementando indica que os pacotes que você está tomando na pancada são menores que 20bytes TCP e menores que 8bytes UDP. Ou seja tudo que esse contador está contando é nesse tamanho, ambos abaixo do range 34-46 que você citou.

Outra coisa muito, muito estranha. Você rebotou seu router? Como o pessoal da Algar ja citou, você tem configs pendentes que só entrarão depois de um boot na caixa. As otimizações que tantos citaram inclusive enhaced mode IP dependem de reboot.

Pergunto se rebootou porque pra esse contador negativa significa que já estourou o contador máximo durante o uptime o que o mais estranho de tudo pois esse numero é o que? Sei la, ‎9223372036854775807 segundo o Google, ou seja pra chegar a ‎9223372036854775807 e estourar e virar  -1603851390791 meu amigo é MUITO pacote pequeno, ou o uptime da caixa está bem alto.

Depois de rebotar acompanhe a velocidade com que esse contador incrementa. 

Mas voltando ao ponto, não me surpreende tanto consumo de CPU em momentos de ataque. Não sei se no JunOS é o Trio quem deveria filtrar (firewall), acho que não, quem entende da arquitetura melhor pode esclarecer. 

Mas nessa quantidade de pacote incoerente que o Juniper está descartando elevaria o consumo de processamento mesmo. Se na sua taxa é outra questão mas você precisa filtrar isso (duh!), a questão é como.

Então façamos o seguinte, liga na DMStor de Sao Paulo (http://www.dmstor.com.br/) e pergunta se eles tem uma placa T540-CR ou T580-CR a pronta-entrega ou em Miami. Se for negativo, liga na ANS (ansdistribuidora.com.br) e levanta sobre as mesmas placas. Senão tiver, tente na Metodo em Belo Horizonte, (metodotelecom.com.br) fale com Eduardo Honorato. 

Se algum tiver a pronta-entrega nós vamos mandar um e-mail pro Sreenivasa (shonnur at chelsio.com) solicitando "Evaluation Program EDVP2014t7dEv - non commitment to buy”, você vai colocar sua empresa num programa de avaliação da Chelsio e vai ficar com essa placa por 7 dias, “sem comprometimento de compra” nos termos do programa mas tem que ser autorizado antes.

Ao enviar esse e-mail me coloca em cópia por gentileza. Se a DMStor tiver em estoque apenas em em Miami, meu socio pode trazer dentro desse mesmo programa depois de autorizado.


>> E garanta que esse contador esteja zerado.
>> 
> 
> Na esta zerado
> 
> 
>> 
>> Aproveitando salve também a saída de:
>> 
>> request pfe execute command "show  security utm status all" target fwdd
>> 
> 
> Nesse comando tem outro pull up failed com valor negativo mas um numero
> diferente
> Veja em particular a saída completa.

Não recebi seus outputs ainda, você enviou quando? No final de semana?

Aguardo. Esse pullup failed não pode estar tão incoerente quanto o anterior.

>> 
>> Envie também por favor, se voce julgar adequado, a saída de:
>> 
>> show configuration
>> 
>> Ou para preservar sua segurança:
>> 
>> show configuration | grep -v SECRET-DATA
>> 
> 
> Esse comando deu erro minhas senhas ficaram na saída do comando.

HEHEHE me desculpe… 

show configuration | except SECRET-DATA

Nos Juniper deve ter um alias except “grep -v” heuauhauhaa…

>> Se achar que está se expondo demais envie em pvt essas saídas mas não
>> deixe de enviar, creio que temos um número bom de especialistas em Juniper
>> aqui na lista e provavelmente no seu PVT. E esse e-mail da CTBC Telecom @
>> gmail.com ai interagindo nessa thread, abuse desses caras! Esse e-mail é
>> “grupal” (não no sentido de sacanagem hehehe) e tem muita gente boa lendo
>> ele.
>> 
> 
> Obrigado.
> Preciso dormir.
> Estou um pouco irritado com a ALGAR e talvez tenha deixado de ser gentil
> com esse e-mail da algar no gmail mesmo.
> Vou me retratar.

Pois é os caras são bons e bem intencionados.

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"




More information about the gter mailing list