Terminate cause User-Reqest у половины пользователей

Здесь можно задать вопросы не связанные с работой АСР. FreeBSD/Linux
Ответить
Andruha50
Сообщения: 4
Зарегистрирован: Пт апр 13, 2012 6:17 am

Terminate cause User-Reqest у половины пользователей

Сообщение Andruha50 » Чт дек 19, 2013 8:12 pm

Всем доброго времени суток. Имеется сеть передачи данных, главным образом доступ сделан на IP DSLAM соответственно CPE абонентов
ADSL модемы . Неделю-полторы назад начались жалобы от пользователей. В статистике сессии ACCT_TERMINATE_CAUSE 1 : User-Request
и куча сессий по 8-12 минут за небольшое время. И каждый раз снова разрыв-соединение. Сессии у каждого отдельно взятого пользователя примерно одинаковые по длительности. Стоит коммерческая версия биллинга.
На практике встречалось всякое. Начиная от замокших кабелей, заканчивая большой нагрузкой на сервера.В данном случае в снифе перед запросом на разрыв приходил честный LCP-Terminate. (pppoe использую)
Наконец привезли модем, на стенде ситуация проявилась. В логах получил

Код: Выделить всё

Sep 5 10:25:56 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=109.72.72.100 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=17981 DF PROTO=TCP SPT=56020 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 10:35:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=94.198.0.15 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=56718 DF PROTO=TCP SPT=2089 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 5 10:45:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=188.232.80.32 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=7507 DF PROTO=TCP SPT=50459 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 10:55:56 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=80.240.209.158 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=10892 DF PROTO=TCP SPT=62502 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 11:05:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=109.184.187.83 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=2910 DF PROTO=TCP SPT=60586 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 11:15:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=78.36.169.111 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=9998 DF PROTO=TCP SPT=56750 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 11:25:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=46.98.11.145 DST=94.50.100.16 LEN=64 TOS=0x00 PREC=0x00 TTL=51 ID=4055 DF PROTO=TCP SPT=58678 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 5 11:35:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=94.50.199.242 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=6469 DF PROTO=TCP SPT=3084 DPT=51413 WINDOW=16384 RES=0x00 SYN URGP=0
Sep 5 11:45:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=195.91.233.193 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=23889 DF PROTO=TCP SPT=5900 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 5 11:55:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=178.187.30.57 DST=94.50.100.16 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=48866 DF PROTO=TCP SPT=52324 DPT=50870 WINDOW=11616 RES=0x00 SYN URGP=0
Sep 5 12:05:58 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=193.238.132.13 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=52 ID=26511 DF PROTO=TCP SPT=59360 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 12:15:56 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=84.54.222.135 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=8982 DF PROTO=TCP SPT=57360 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 12:25:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=109.86.22.79 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=19859 DF PROTO=TCP SPT=61503 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Проблема оказалась в разрыве связи под воздействием потока SYN пакетов.(логи не мои но тоже самое по смыслу) Решилась путем установки на CPE функции "pass through pppoe" либо сменой режима работы на bridge. Модемы одного производителя но двух разных марок. Актуальная прошивка не помогает. Изоляция портов присутствует. Фильтры на pppoe D,S стадий в соответствующих направлениях имеются.
А теперь вопрос. Каким образом не трогая CPE юзеров можно защитить их от SYN lood?

Ответить