Перейти к содержимому



мул и multicast flood


  • Вы не можете ответить в тему
  • Вы не можете создать новую тему
Сообщений в теме: 10

#1 OFFLINE   Al71

 

    Долгожитель

  • [eMule-Rus]
  • сообщений: 1 070
    Последний визит:
    23 Июн 2019 20:46
  • Пол:Мужчина
  • Откуда:Москва
 

Отправлено 13 Январь 2016 - 23:41

Последнее время стал часто блокироваться порт на домовом коммутаторе Билайн, как говорят инженеры из техподдержки -- за multicast flood. Разблокировать можно только звонком в ТП. В связи с этим у меня вопрос к муловодам, кто пользуется услугами Билайн: была ли у кого аналогичная проблема, или причину следует искать не в муле? Последний раз настройки были такие (amule):

Изображение Изображение

IP-фильтр -- свежий с http://emule-security.org/, для верности в ipfilter_static.dat внес локальные адреса:

010.000.000.000 - 010.255.255.255 , 000 , Bogon
172.016.000.000 - 172.031.255.255 , 000 , Bogon
192.168.000.000 - 192.168.255.255 , 000 , Bogon

но после праздников сеть все равно ушла в отключку.

#2 OFFLINE   mule-Conduktor

 

    Небожитель

  • Постоянные посетители
  • PipPipPipPipPipPipPip
  • сообщений: 346
    Последний визит:
    08 Окт 2018 13:39
 

Отправлено 14 Январь 2016 - 02:00

Для локализации источника флуда нужно смотреть кто, куда массово шлет пакеты,
может это вовсе и не мул. Лично на мой амул мой провайдер никогда не жаловался.
Я бы на твоем месте попробовал какое то время, не пользоваться мулом, а погонять
плотно торрент. Будет ли повторятся мультикаст-шторм?
(обращая внимание на пункт 3, в ссылке выше, по поводу возможных причин блокировки)

Вечером доберусь до бука, посмотрю настройки своего ослика.

Сообщение отредактировал mule-Conduktor: 14 Январь 2016 - 02:52


#3 OFFLINE   Al71

 

    Долгожитель

  • [eMule-Rus]
  • сообщений: 1 070
    Последний визит:
    23 Июн 2019 20:46
  • Пол:Мужчина
  • Откуда:Москва
 

Отправлено 14 Январь 2016 - 04:54

Да, с торрентом тоже были проблемы, даже чаще, правда, я давно его не запускал. У меня Transmission на линуксе, настроек не так много, и где там отключается "поиск локальных пиров" я не нашел.

P.S. Сейчас обнаружил включенный Bonjour на роутере (Cisco SPA122) --  где-то упоминалось в этой связи (циско + мультикаст). Запись лога на роутере и лог gufw были отключены, а можно ли откопать нужную информацию из dmesg -- не знаю. Инженер из техподдержки для отслеживания пакетов советовал wireshark, но стоит ли связываться с этой программой или достаточно логов?

#4 OFFLINE   Ramerup

 

    Cторожевая сова форума

  • [Супер Модератор]
  • PipPipPipPipPipPipPipPipPipPipPipPip
  • сообщений: 13 398
    Последний визит:
    Сегодня, 12:41
  • Пол:Мужчина
  • Откуда:Санкт-Петербург
 

Отправлено 14 Январь 2016 - 09:46

у меня на билайне блокировки бывают только если забудешь оплатить вовремя  :ag:
мул перед новым годом торчал в сети безвылазно 2 месяца, торрент практически столько же, ибо мне приспичило накачать книг по грибам и кулинарные серии типа "Кухни народов мира" (31 книга), "Вкусно и просто" (49 книг), "7 поварят" (76 книг)
среди грибочков была совсем свежая раздача *Грибы (подборка)* в 6.54Гб. (408 книг), улетала она от меня с песнями, за два месяца слили ок.250Гб. - только ОДНОЙ ЭТОЙ РАЗДАЧИ, а всего в торренте было заряжено 30 позиций..
мул в сети, как уже говорил, всегда (более 1800 файлов)..
блокировок по флуду не видел ни разу
..а вот гугол, цуко, банит..
точнее, просит капчу ввести, после чего идёт лесом, т.к. кукисы я для него включать не собираюсь..

#5 OFFLINE   mule-Conduktor

 

    Небожитель

  • Постоянные посетители
  • PipPipPipPipPipPipPip
  • сообщений: 346
    Последний визит:
    08 Окт 2018 13:39
 

Отправлено 14 Январь 2016 - 11:14

Просмотр сообщенияAl71 (14 Январь 2016 - 04:54) писал:

Да, с торрентом тоже были проблемы, даже чаще, правда, я давно его не запускал. У меня Transmission на линуксе, настроек не так много, и где там отключается "поиск локальных пиров" я не нашел.

P.S. Сейчас обнаружил включенный Bonjour на роутере (Cisco SPA122) --  где-то упоминалось в этой связи (циско + мультикаст). Запись лога на роутере и лог gufw были отключены, а можно ли откопать нужную информацию из dmesg -- не знаю. Инженер из техподдержки для отслеживания пакетов советовал wireshark, но стоит ли связываться с этой программой или достаточно логов?
Зачем тебе Бонжур на Киске? У тебя Эйпл телевизор?

В Трансмишн настройка по локальным пирам находится на вкладке "сеть" - использовать LPD для
обнаружения участников.

Верно понимаю - в домохозяйстве роутер подключен в вымпелкомовский коммутатор?
Верно понимаю - в домохозяйстве не один девайс, который ходит в интернет?

Техподдержка дело говорит - Акула классная прога, расскажет до байта кто и куда.
Должна быть в центре приложений Минта. В убунте точно есть. Запускать через терминал от рута.
Хоть она и не локализована, не страшно.
Там есть отличная фишка - локализовать пакеты, разберешься из описания на хабре.
Кстати, потом эти логи можешь на саппорт провайдера отправить - пусть помогают.
-----------------------
Посмотрел свои настройки мула - в принципе где-то так же.
Только у меня включено "принимать только вуалирование", порт другой, и включен форвардинг портов на роутере.

Сообщение отредактировал Ramerup: 14 Январь 2016 - 12:07
исправлена ссылка


#6 OFFLINE   Al71

 

    Долгожитель

  • [eMule-Rus]
  • сообщений: 1 070
    Последний визит:
    23 Июн 2019 20:46
  • Пол:Мужчина
  • Откуда:Москва
 

Отправлено 14 Январь 2016 - 13:53

Просмотр сообщенияmule-Conduktor (14 Январь 2016 - 11:14) писал:

Зачем тебе Бонжур на Киске? У тебя Эйпл телевизор?
В Трансмишн настройка по локальным пирам находится на вкладке "сеть" - использовать LPD для
обнаружения участников.
Верно понимаю - в домохозяйстве роутер подключен в вымпелкомовский коммутатор?
Верно понимаю - в домохозяйстве не один девайс, который ходит в интернет?

Бонжур был включен по-умолчанию, я его только сегодня заметил.
LPD у меня на вкладке "конфиденциальность" -- отключен. Что примечательно, при запуске transmission напрочь виснет ADSL-интернет от МГТС, который за NAT-ом, и с которого я сейчас пишу. После закрытия клиента все восстанавливается.
SPA122 -- это телефонный адаптер с роутером, через сетевой кабель подключен к розетке, которая в щитке, а что там дальше -- понятия не имею (некий "домовой коммутатор"). Помимо интернета на нем еще висит домашний телефон от билайн (настроенный через sip-сервера), но я им почти не пользуюсь.  Еще год назад никаких проблем не было, первая блокировка случилась где-то в мае. А сейчас по дому идет плановый перевод с меди на оптоволокно (GPON от МГТС), но не думаю, что смена провайдера решит проблему флуда.

Цитата

Посмотрел свои настройки мула - в принципе где-то так же.
Только у меня включено "принимать только вуалирование", порт другой, и включен форвардинг портов на роутере.

Порты на роутере у меня тоже проброшены. Я уже и сам догадываюсь, что дело не в муле -- нужны факты, просто так звонить в ТП, чтоб включали/отключали, нет смысла.

#7 OFFLINE   Al71

 

    Долгожитель

  • [eMule-Rus]
  • сообщений: 1 070
    Последний визит:
    23 Июн 2019 20:46
  • Пол:Мужчина
  • Откуда:Москва
 

Отправлено 18 Январь 2016 - 03:46

В выходные установил wireshark и попробовал проанализировать трафик на eth0. Тренировался на adsl, задав фильтр захвата 'multicast or broadcast' и запустив на день все что можно (amule + transmission + http-закачка + web-серфинг + boinc). По части флуда ничего криминального не заметил. Только вялотекущие IGMP и ARP запросы в локалку, анонсы браузера, плюс изредка проскакивали MDNS запросы на 224.0.0.251 от avahi-daemon, но без штурма. Хотя отдельный захват без фильтра показал, что включение DHT на transmission увеличивает число "разговоров" и udp трафик между хостами на порядок и периодически грузит DNS-сервера пачками запросов, отчего те не всегда отвечают. Кроме того, торрент постоянно стучится на retracker.local, который вообще не отвечает. Ослик по сравнению с ним ведет себя вполне прилично, но все это на "сером" IP.
В качестве меры решил пока подключиться напрямую (без роутера) и тупо запретить все исходящие пакеты по широковещательным адресам и адресам групповой рассылки:

iptables -A OUTPUT -d 224.0.0.0/4 -o eth0 -j LOG --log-prefix "Iptables:" --log-level info
iptables -A OUTPUT -d 0.0.0.255/0.0.0.255 -o eth0 -j LOG --log-prefix "Iptables:" --log-level info
iptables -A OUTPUT -m addrtype --dst-type MULTICAST -o eth0 -j DROP
iptables -A OUTPUT -m addrtype --dst-type BROADCAST -o eth0 -j DROP

Если будут попытки мультикастинга из моей машины, думаю, я смогу их локализовать по логам, но сеть при этом должна оставаться работоспособной.

P.S. mule-Conduktor Не совсем понял, какую именно "фишку" Акулы ты имел в виду.

Сообщение отредактировал Al71: 19 Январь 2016 - 01:48


#8 OFFLINE   mule-Conduktor

 

    Небожитель

  • Постоянные посетители
  • PipPipPipPipPipPipPip
  • сообщений: 346
    Последний визит:
    08 Окт 2018 13:39
 

Отправлено 23 Январь 2016 - 14:26

Просмотр сообщенияAl71 (18 Январь 2016 - 03:46) писал:

В выходные установил wireshark и попробовал проанализировать трафик на eth0. Тренировался на adsl, задав фильтр захвата 'multicast or broadcast' и запустив на день все что можно (amule + transmission + http-закачка + web-серфинг + boinc). По части флуда ничего криминального не заметил. Только вялотекущие IGMP и ARP запросы в локалку, анонсы браузера, плюс изредка проскакивали MDNS запросы на 224.0.0.251 от avahi-daemon, но без штурма. Хотя отдельный захват без фильтра показал, что включение DHT на transmission увеличивает число "разговоров" и udp трафик между хостами на порядок и периодически грузит DNS-сервера пачками запросов, отчего те не всегда отвечают. Кроме того, торрент постоянно стучится на retracker.local, который вообще не отвечает. Ослик по сравнению с ним ведет себя вполне прилично, но все это на "сером" IP.
В качестве меры решил пока подключиться напрямую (без роутера) и тупо запретить все исходящие пакеты по широковещательным адресам и адресам групповой рассылки:

iptables -A OUTPUT -d 224.0.0.0/4 -o eth0 -j LOG --log-prefix "Iptables:" --log-level info
iptables -A OUTPUT -d 0.0.0.255/0.0.0.255 -o eth0 -j LOG --log-prefix "Iptables:" --log-level info
iptables -A OUTPUT -m addrtype --dst-type MULTICAST -o eth0 -j DROP
iptables -A OUTPUT -m addrtype --dst-type BROADCAST -o eth0 -j DROP

Если будут попытки мультикастинга из моей машины, думаю, я смогу их локализовать по логам, но сеть при этом должна оставаться работоспособной.

P.S. mule-Conduktor Не совсем понял, какую именно "фишку" Акулы ты имел в виду.
Поиск проблемы сузился окончательно. Имхо, подозреваю, retracker.local и есть причина бана от провайдера.

Зона .local была зарезервирована раньше и для других целей: в реализации технологии Zeroconf от компании Apple (Bonjour).
и в реализации этой технологии в Linux (Avahi) - для разрешения имен хостов и сервисов в локальной сети без DNS-сервисов (так называемый multicast DNS).
Т.е. простыми словами - какая-то твоя программа (предположу бонжур на роутере) ищет связь не через классические DNS, а обращаясь к некому multicast DNS, которого вовсе может не быть в локальной сети твоего провайдера.

Либо торрент-клиент стучится на прописанный в свойствах торрент-файла некий torrent.local (которого тоже может не быть в твоей сети) и пытается попасть на retracker.local от Zeroconf.
От того и выходит бан от провайдера за мультикст-флуд.
--------------------
Совершенно правильно использовал фишку от Wireshark - возможность фильтровать типы пакетов для локализации задачи.
Можно посмотреть куда летят пакеты под условным названием мультикаст.
Плюс, всегда можно попросить у провайдера  кусочек лога с криминалом и сравнить его с картинкой из своей Акулы.
---------------------
Странно, тоже иногда пользую трансмишн, но мой провайдер молчит. Может потому что у меня точно нет бонжура?

Сообщение отредактировал mule-Conduktor: 23 Январь 2016 - 14:39


#9 OFFLINE   Al71

 

    Долгожитель

  • [eMule-Rus]
  • сообщений: 1 070
    Последний визит:
    23 Июн 2019 20:46
  • Пол:Мужчина
  • Откуда:Москва
 

Отправлено 24 Январь 2016 - 12:26

Я торрентом последнее время мало пользовался, когда случались блокировки был запущен только ослик, хотя он и не тянет на флудера, если не считать, что масса клиентов, с которыми он соединяется в kad, имеют адреса вида х.х.х.255, но broadcast фильтр не считает их широковещательными и пропускает. Бонжур в роутере был в настройках LAN (не WAN), поэтому я не уверен, что эти пакеты уходили дальше моих дверей. Больше подозрений вызывали настройки VoIP, в которые я даже не вникал, просто настроил по инструкции, поэтому и решил пока подключиться напрямую, чтобы исключить влияние адаптера/роутера. Судя по беглому просмотру логов, наиболее вероятный источник мультикаста в системе -- avahi, отмечались пачки пакетов на 224.0.0.251:5353, которые сейчас фильтруются выходной цепочкой iptables. Tshark (как и wireshark), эти пакеты не регистрирует, поскольку отслеживает трафик непосредственно на интерфейсе (eth0), до которого они просто не доходят. Пока прошла неделя, полет нормальный, но окончательные выводы можно будет делать где-то через месяц.

Касательно retracker.local -- я определил его по адресу (85.21.79.39), он встречается в свойствах почти каждого торрент-файла наряду с bt?.rutracker.org (вкладка Трекеры), а их у меня накопилось с пару сотен. Этот трекер уже давно никому не отвечает, можно было просто удалить его, но тогда пришлось бы перелопачивать весь список.

#10 OFFLINE   NeByvalyi

 

    Чистильщик

  • [Хранители]
  • сообщений: 7 332
    Последний визит:
    01 Май 2019 20:05
  • Пол:Мужчина
  • Откуда:Нью-Васюки
 

Отправлено 24 Январь 2016 - 14:15

Просмотр сообщенияAl71 сказал:

retracker.local ... он встречается в свойствах почти каждого торрент-файла... Этот трекер уже давно никому не отвечает
Когда-то давно я был в Акаде и в Корбине и там локальные ретрекеры работали.
У нынешнего провайдера - нет.

Просмотр сообщенияAl71 сказал:

можно было просто удалить его, но тогда пришлось бы перелопачивать весь список.
а мне религия позволяет каждый раз идти в закладку Трекеры и удалять неработающие ;) )))

#11 OFFLINE   Al71

 

    Долгожитель

  • [eMule-Rus]
  • сообщений: 1 070
    Последний визит:
    23 Июн 2019 20:46
  • Пол:Мужчина
  • Откуда:Москва
 

Отправлено 24 Январь 2016 - 15:04

Просмотр сообщенияNeByvalyi (24 Январь 2016 - 14:15) писал:

а мне религия позволяет каждый раз идти в закладку Трекеры и удалять неработающие ;) )))

Иногда они все-таки "работают", только об этом никто не догадывается :-):
Изображение

Сообщение отредактировал Al71: 24 Январь 2016 - 15:12






Количество пользователей, читающих эту тему: 2

0 пользователей, 2 гостей, 0 анонимных