virus generuje upload 4,5Mbps

[soucez]

Dnes se mi stala zajímavá věc. Klient měl zavirovaný PC a jeho počítač generoval Upload 4,5Mbps směrem na APčko RB532. To přeposlalo konekt páteřním spojem 5GHz na centrální shaper kde se teprve jeho Upload ořezává na 256kbps.

Celej RouterBoard tím byl ovlivněnej. Nejen ta karta CM9 na kterou byl onen klient připojen ale i druhá CM9 která vysílá pro jinej sektor. Prostě to asi už pak nestíhalo CPU toho RouterBoardu.

Zkusil jsem oříznout upload toho klienta ještě na tom routerboardu. To sice pomohlo tomu že netekl přes páteřní spoj 5Ghz bordel 4,5Mbps než se to ořezalo na shaperu, ale pořád ta CM9 v routerBoardu vykazovala příjem RX 4,5Mbps a nestíhalo celé RB532.

U klienta jsem nasadil nakonec APčko WA2204A kde jde nastavit maximální Up i Down od ISP. Takže jeho rádio už nevysílá víc než 256kbps a tím pádem už na APčko nejede bordel z jeho PC takovou rychlostí.

Taky se s tím setkáváte?

Pěkně to kurví přenosy ostatních klientů naladěných na stejném sektoru. A dnes to právě ovlivňovalo i druhou CM9 pro jinej sektor na kterou ten klient naladěnej nebyl ale je to v jednom RB532.

[gorila]

Dnes se mi stala zajímavá věc. Klient měl zavirovaný PC a jeho počítač generoval Upload 4,5Mbps směrem na APčko RB532. To přeposlalo konekt páteřním spojem 5GHz na centrální shaper kde se teprve jeho Upload ořezává na 256kbps.

Celej RouterBoard tím byl ovlivněnej. Nejen ta karta CM9 na kterou byl onen klient připojen ale i druhá CM9 která vysílá pro jinej sektor. Prostě to asi už pak nestíhalo CPU toho RouterBoardu.

Zkusil jsem oříznout upload toho klienta ještě na tom routerboardu. To sice pomohlo tomu že netekl přes páteřní spoj 5Ghz bordel 4,5Mbps než se to ořezalo na shaperu, ale pořád ta CM9 v routerBoardu vykazovala příjem RX 4,5Mbps a nestíhalo celé RB532.

U klienta jsem nasadil nakonec APčko WA2204A kde jde nastavit maximální Up i Down od ISP. Takže jeho rádio už nevysílá víc než 256kbps a tím pádem už na APčko nejede bordel z jeho PC takovou rychlostí.

Taky se s tím setkáváte?

Pěkně to kurví přenosy ostatních klientů naladěných na stejném sektoru. A dnes to právě ovlivňovalo i druhou CM9 pro jinej sektor na kterou ten klient naladěnej nebyl ale je to v jednom RB532.

Ano poznám to a vždy ak to detekujem,odpojim klienta a informujem ho,nech si da do poriadku komp.Da sa to zistit obrovskym nepomerom prijatych a odoslanych paketov od klienta.Napr.prijate su okolo 5000 a odoslane 80000.To je jasne-virus.Niektory klient aj podakoval,ze som ho na to upozornil.Dokaze to zakilovat celu siet.

[soucez]

Dnes se mi stala zajímavá věc. Klient měl zavirovaný PC a jeho počítač generoval Upload 4,5Mbps směrem na APčko RB532. To přeposlalo konekt páteřním spojem 5GHz na centrální shaper kde se teprve jeho Upload ořezává na 256kbps.

Celej RouterBoard tím byl ovlivněnej. Nejen ta karta CM9 na kterou byl onen klient připojen ale i druhá CM9 která vysílá pro jinej sektor. Prostě to asi už pak nestíhalo CPU toho RouterBoardu.

Zkusil jsem oříznout upload toho klienta ještě na tom routerboardu. To sice pomohlo tomu že netekl přes páteřní spoj 5Ghz bordel 4,5Mbps než se to ořezalo na shaperu, ale pořád ta CM9 v routerBoardu vykazovala příjem RX 4,5Mbps a nestíhalo celé RB532.

U klienta jsem nasadil nakonec APčko WA2204A kde jde nastavit maximální Up i Down od ISP. Takže jeho rádio už nevysílá víc než 256kbps a tím pádem už na APčko nejede bordel z jeho PC takovou rychlostí.

Taky se s tím setkáváte?

Pěkně to kurví přenosy ostatních klientů naladěných na stejném sektoru. A dnes to právě ovlivňovalo i druhou CM9 pro jinej sektor na kterou ten klient naladěnej nebyl ale je to v jednom RB532.

Ano poznám to a vždy ak to detekujem,odpojim klienta a informujem ho,nech si da do poriadku komp.Da sa to zistit obrovskym nepomerom prijatych a odoslanych paketov od klienta.Napr.prijate su okolo 5000 a odoslane 80000.To je jasne-virus.Niektory klient aj podakoval,ze som ho na to upozornil.Dokaze to zakilovat celu siet.

jenže je průser že se to musí pořád nějak hlídat. Člověk na to taky pořád nemá čas že? Nejde udělat nějakej script kterej by to hlídal a upozornil třeba do logu?

[Leeonek]

Včera sem měl upload na jedno APčko 10mbit a provoz podle grafů nikam dál nepokračoval, zřejmě stejný problém, bohužel mám dcčkáře kteří mají běžně velký rozdíl odchozích/příchozích paketů takže podle toho to nepoznám

[gorila]

Dnes se mi stala zajímavá věc. Klient měl zavirovaný PC a jeho počítač generoval Upload 4,5Mbps směrem na APčko RB532. To přeposlalo konekt páteřním spojem 5GHz na centrální shaper kde se teprve jeho Upload ořezává na 256kbps.

Celej RouterBoard tím byl ovlivněnej. Nejen ta karta CM9 na kterou byl onen klient připojen ale i druhá CM9 která vysílá pro jinej sektor. Prostě to asi už pak nestíhalo CPU toho RouterBoardu.

Zkusil jsem oříznout upload toho klienta ještě na tom routerboardu. To sice pomohlo tomu že netekl přes páteřní spoj 5Ghz bordel 4,5Mbps než se to ořezalo na shaperu, ale pořád ta CM9 v routerBoardu vykazovala příjem RX 4,5Mbps a nestíhalo celé RB532.

U klienta jsem nasadil nakonec APčko WA2204A kde jde nastavit maximální Up i Down od ISP. Takže jeho rádio už nevysílá víc než 256kbps a tím pádem už na APčko nejede bordel z jeho PC takovou rychlostí.

Taky se s tím setkáváte?

Pěkně to kurví přenosy ostatních klientů naladěných na stejném sektoru. A dnes to právě ovlivňovalo i druhou CM9 pro jinej sektor na kterou ten klient naladěnej nebyl ale je to v jednom RB532.

Ano poznám to a vždy ak to detekujem,odpojim klienta a informujem ho,nech si da do poriadku komp.Da sa to zistit obrovskym nepomerom prijatych a odoslanych paketov od klienta.Napr.prijate su okolo 5000 a odoslane 80000.To je jasne-virus.Niektory klient aj podakoval,ze som ho na to upozornil.Dokaze to zakilovat celu siet.

jenže je průser že se to musí pořád nějak hlídat. Člověk na to taky pořád nemá čas že? Nejde udělat nějakej script kterej by to hlídal a upozornil třeba do logu?

jo jo,presne tak.ja pri tom presedim 8-12 hodin denne.ako kedy.je to ale na karbid,ale co mam robit.fakt nejaky script by sa hodil.

[Leeonek]

jo jo,presne tak.ja pri tom presedim 8-12 hodin denne.ako kedy.je to ale na karbid,ale co mam robit.fakt nejaky script by sa hodil.

script nebo pravidlo není problém ale je potřeba vědět jak to funguje, pak už si to zaloguješ a hříšníka odpojíš. Běží to na nějakém portu?

[pepulis]

jo jo,presne tak.ja pri tom presedim 8-12 hodin denne.ako kedy.je to ale na karbid,ale co mam robit.fakt nejaky script by sa hodil.

script nebo pravidlo není problém ale je potřeba vědět jak to funguje, pak už si to zaloguješ a hříšníka odpojíš. Běží to na nějakém portu?

Co takhle na kazdem RB apod. omanglovat jakykoliv up provoz = rozdeleny na up-nop2p a up-p2p a dat mu nejakou max rychlost = treba na 15-tém RB za hlavnim routrem udelat tyto pravidla dat tem manglum max. rate treba 1 Mbit a az na hlavnim routeru definovat danou rychlost pro uzivatele napr. 256k pro upload.

[vasek]

Vcera jsem narazil na zajimavyho vira generuje v podstate neomezenej uploud u nas vyplnil 6mbit/s a este jede na portu udp 53 coz je teda humus kdyz mate priorizaci podle portu.
Klienta jsem odpojil rucne:) o vikendu se mu podivam na komp co s tom ma za smejda.

[Leeonek]

přesně tak, on negeneruje 5Mbit upload, on generuje tolik co mu dovolí jeho odchozí rychlost

[soucez]

jo jo,presne tak.ja pri tom presedim 8-12 hodin denne.ako kedy.je to ale na karbid,ale co mam robit.fakt nejaky script by sa hodil.

script nebo pravidlo není problém ale je potřeba vědět jak to funguje, pak už si to zaloguješ a hříšníka odpojíš. Běží to na nějakém portu?

Co takhle na kazdem RB apod. omanglovat jakykoliv up provoz = rozdeleny na up-nop2p a up-p2p a dat mu nejakou max rychlost = treba na 15-tém RB za hlavnim routrem udelat tyto pravidla dat tem manglum max. rate treba 1 Mbit a az na hlavnim routeru definovat danou rychlost pro uzivatele napr. 256k pro upload.

Omyl jak Brno!!! Tohle nepomůže. Sice tím omezíš ten provoz dál směrem na páteřní spoj (takže ti po páteři nevalí zbtečně upload na shaper) ale nezajistíš tím to, že ten klient pohrne UDP paketama co to dá. Pořád budeš vidět na RX CM9ky třeba 5Mbps!!!!
A UDP paket nečeká na potvrzení což by pomohlo protože pak by snižoval rychlost vysílání. Jediná možnost je omezit upload přímo na klientském rádiu.

[raven-il]

jo jo,presne tak.ja pri tom presedim 8-12 hodin denne.ako kedy.je to ale na karbid,ale co mam robit.fakt nejaky script by sa hodil.

script nebo pravidlo není problém ale je potřeba vědět jak to funguje, pak už si to zaloguješ a hříšníka odpojíš. Běží to na nějakém portu?

Co takhle na kazdem RB apod. omanglovat jakykoliv up provoz = rozdeleny na up-nop2p a up-p2p a dat mu nejakou max rychlost = treba na 15-tém RB za hlavnim routrem udelat tyto pravidla dat tem manglum max. rate treba 1 Mbit a az na hlavnim routeru definovat danou rychlost pro uzivatele napr. 256k pro upload.

Omyl jak Brno!!! Tohle nepomůže. Sice tím omezíš ten provoz dál směrem na páteřní spoj (takže ti po páteři nevalí zbtečně upload na shaper) ale nezajistíš tím to, že ten klient pohrne UDP paketama co to dá. Pořád budeš vidět na RX CM9ky třeba 5Mbps!!!!
A UDP paket nečeká na potvrzení což by pomohlo protože pak by snižoval rychlost vysílání. Jediná možnost je omezit upload přímo na klientském rádiu.

Odpojit z AP. Natvrdo.

[sub_zero]

Jediná možnost je omezit upload přímo na klientském rádiu.

nejlepsi moznost je klienta odpojit a zapojit az po odstraneny viru, even reinstalu systemu. Kazda poradna smlouva by tohle mela obsahovat...

[matrix]

jo jo,presne tak.ja pri tom presedim 8-12 hodin denne.ako kedy.je to ale na karbid,ale co mam robit.fakt nejaky script by sa hodil.

script nebo pravidlo není problém ale je potřeba vědět jak to funguje, pak už si to zaloguješ a hříšníka odpojíš. Běží to na nějakém portu?

tak v tyzdni sa to stalo aj mne klient mal upload 4,5M ... slo to na porte 53

[pepulis]

jo jo,presne tak.ja pri tom presedim 8-12 hodin denne.ako kedy.je to ale na karbid,ale co mam robit.fakt nejaky script by sa hodil.

script nebo pravidlo není problém ale je potřeba vědět jak to funguje, pak už si to zaloguješ a hříšníka odpojíš. Běží to na nějakém portu?

tak v tyzdni sa to stalo aj mne klient mal upload 4,5M ... slo to na porte 53

Lidicky tak pouzijte TOS nebo jakekoliv jine omezovani rychlosti v ramci lokalu. Takove problemy by tim padem meli byt odstraneny.

[raven-il]

jo jo,presne tak.ja pri tom presedim 8-12 hodin denne.ako kedy.je to ale na karbid,ale co mam robit.fakt nejaky script by sa hodil.

script nebo pravidlo není problém ale je potřeba vědět jak to funguje, pak už si to zaloguješ a hříšníka odpojíš. Běží to na nějakém portu?

tak v tyzdni sa to stalo aj mne klient mal upload 4,5M ... slo to na porte 53

Lidicky tak pouzijte TOS nebo jakekoliv jine omezovani rychlosti v ramci lokalu. Takove problemy by tim padem meli byt odstraneny.

Provoz na UDP je typicky jednosmerny a tudiz temer neriditelny, takze....