技术分析一波PR的网络问题

msxcms

首先在iftop里面抓到一个不停给我发包的邻居IP
然后用抓包命令  

tcpdump -Xnlps0 -i eth0 host IP地址 -w test.wcap



打开之后发现，其实交换机发过来的不止是广播包，而是TCP失败重传包，能看到各种应用端口号，比如这个图是23端口，还有其他一些高危端口，目测这个IP被扫端口了，但是发给了我，也就是说交换机现在把发给其他人的包发给我了，100%是配置错误，看着交换机也是 juniper 的，这牌子不会有什么问题，明显是配错了。

再抓了一次刚给我发包的邻居，5秒收到了30000多包请求



再补一个广播ARP的图


希望PR技术学习一下什么是交换机广播风暴

2019年12月27日更新：
PR 已修复，详见 https://www.hostloc.com/thread-628621-1-1.html

domin

是vlan整太大了  一个IP被ddos 然后vps关机 就会导致过去的包全部广播到vlan上了。之前hostdare就是接了他们PR一根线 导致一样情况 经常挂掉 后来我帮他找到原因 切断了PR那条线解决了。

txjcv

domin 发表于 2019-12-13 17:41
是vlan整太大了  一个IP被ddos 然后vps关机 就会导致过去的包全部广播到vlan上了。之前hostdare就是接了他 ...

一个vlan可能好管理省事，第二个可以省IP地址。
华为交换机有个超级vlan概念，网关地址放在母vlan，然后业务端口都划分各个子vlan。这样虽然每个业务口，二层隔开了，但是他们可以共用到母vlan的网关。目的是节省IP。

txjcv

msxcms 发表于 2019-12-13 17:35
这些包的目标IP都不是我的IP

你这种情况把网卡混杂模式给关了。
ifconfig eth0 promisc 设置混杂
ifconfig eth0 -promisc　取消混杂

dragonfsky

@alenxu 进来招人

qinyang

感觉我的PR机器，过几天，又会值钱了

citywar

不明觉厉。。。
技术帝能入侵下帮帮人家修复下吗。

Simmoc

别为难pr技术人员了，他们刚学会重装系统。机房配置这种技术要最后面才要学。

titanic

现在PR有的节点就基本不受影响。。。大部分节点都不行。。我感觉照他们这服务水平。。明年也解决不了。。。

baidns

占位占位zsbd..

iwil

看不懂，帮顶，这家硬件还行，软实力很差劲，客服基本啥都不懂

PA-fan

这么烂，怎么搞出来的

msxcms

citywar 发表于 2019-12-13 17:31
不明觉厉。。。
技术帝能入侵下帮帮人家修复下吗。

交换机在不停DDOS我，我又不可能屏蔽交换机的数据，最多是iptables拒绝一下这些包，但是解决不了问题

txjcv

你这个截图，广播包，和重传倒没看到，看到一大堆的SYN扫描。

msxcms

txjcv 发表于 2019-12-13 17:34
你这个截图，广播包，和重传倒没看到，看到一大堆的SYN扫描。

这些包的目标IP都不是我的IP

回忆不虚伪

妈的 这才几个小时，跑了我快一个G了