Il serait peut-être temps de mettre des ACL ingress pour filtrer tout ce qui n’a rien à faire là (RFC1918, etc…), ou mieux: n’autoriser que ce qui doit arriver par l’interface en question si possible.
Le 23 juil. 2015 à 18:32, jehan procaccia INT <jehan.procac...@int-evry.fr> a écrit : > Le 23/07/2015 10:42, Clement Cavadore a écrit : >> >> 5) comment remonter et identifier la source du pb, probablement un >> PC/portable mal configuré infecté et qui se crois sur une livebox ou >> autre subnet home office !? >> Essaye de choper l'adresse MAC via ton port mirroring, et remonte le >> réseau L2 jusqu'à trouver le port de switch auquel cette MAC est >> rattachée ? >> > Merci pour vos réponses > je comprend mieux maintenant comment ce trafic peut-etre etre routé malgres > mes efforts pour le dropper ! > > apres avoir remonté la source jusqu'a mon coeur de reseau (6500) grace au > port miroring sur ASR (SPAN) cf > http://www.cisco.com/c/en/us/support/docs/routers/asr-1000-series-aggregation-services-routers/116212-configure-asr-00.html > nouveau port miroring sur 6500 , cf > http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41.html#anc45 > > j'ai du encore luter avec tcpdump car l'interface en question est un trunk > et il a fallu jouer avec la prise en charge des vlan dans le filtre: > > # tcpdump -nnv -e "udp or (vlan and (udp or tcp) and src net > 192.168.0.0/22)" -i em2 -w capture-g2-21-6509-2015-07-23-17H00-192.168.cap > # tcpdump -nnve -r capture-g2-21-6509-2015-07-23-17H00-192.168.cap > > j'ai capturé donc ce genre de trame > > 17:17:12.612962 *10:bd:18:e4:80:80* > 00:07:7d:33:9f:00, ethertype 802.1Q > (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, ttl 116, id > 11394, offset 0, flags [DF], proto TCP (6), length 48) > *192.168.1.101*.3751 > 104.37.247.30.80: Flags [S], cksum 0x3f63 (correct), > seq 2737270860, win 65535, options [mss 1460,nop,nop,sackOK], length 0 > > où j'ai enfin un match entre l'adresse IP et une @MAC . > > => j'esperais trouver ça bcp plus facilement avec un > 6509E#show arp | incl 192.168.1.101 > mais curieusement, cela ne donne jamais rien , > meme #show mac address-table | incl 10:bd:18:e4:80:80 ne donne rien !? > heureusement qu'il y a tcpdump a coté des équipements cisco ... > > Maintenant , il faut que je poursuive vers l'interface source de cette MAC , > évidement c'est un downlink qui sort de mon LAN , derrière lequel je pas la > main, je vais poursuivre avec l’enquête avec les admins de cette interco . > > Je reste quand meme surpris qu'un flood de paquets arrive a mettre a genoux > un ASR1002 :-( ! > on vois sur le graph en nombre de paquets ci-dessous les 2 periodes > "blanches" ou mon routeur ne repondais quasiment plus (en tout cas au moins > plus au requetes snmp sources de ce graph) > > ASR1002 - Unicast Packets - Gi0/0/2 > > Merci pour vos conseils . > > jehan . > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
