Jump to content
  • 0

Как отключить smb/netbios флуд ?


OmegaTron
 Share

Question

Давно обратил внимание, что роутер флудит netbios-пакетами (или чем-то подобным, к содержимому не приглядывался) Сканирование сети/запросы в сеть со стороны роутера можно как-то прекратить ? Мешает при анализе траффика "забивая" эфир (фильтры в сниффере дело конечно хорошее, но хотелось бы "заткнуть" флудильщика) ...

Link to comment
Share on other sites

16 answers to this question

Recommended Posts

  • 0
57 минут назад, OmegaTron сказал:

Давно обратил внимание, что роутер флудит netbios-пакетами (или чем-то подобным, к содержимому не приглядывался) Сканирование сети/запросы в сеть со стороны роутера можно как-то прекратить ? Мешает при анализе траффика "забивая" эфир (фильтры в сниффере дело конечно хорошее, но хотелось бы "заткнуть" флудильщика) ...

Отключить smb, и smb flood закончится.

ЗЫ Не так уж и много там, пара пакетов раз в 30 секунд.

Edited by r13
Link to comment
Share on other sites

  • 0
36 минут назад, r13 сказал:

Отключить smb, и smb flood закончится.

Другие устройства с самбой/smb не флудят так, как zyxel, иначе бы я не поднимал этот вопрос :) И там не пара пакетов, по крайней мере у меня. Позже сделаю дамп, покажу скрины.

Edited by OmegaTron
Link to comment
Share on other sites

  • 0

@OmegaTron Речь идет о протоколе netbios или browser? Первое, что может броситься в глаза - это частые host announcement, максимальный интервал интервал рассылки который установлен в 30 секунд.

Link to comment
Share on other sites

  • 0
2 часа назад, vst сказал:

@OmegaTron Речь идет о протоколе netbios или browser? Первое, что может броситься в глаза - это частые host announcement, максимальный интервал интервал рассылки который установлен в 30 секунд.

Сейчас глянул сниффер - browser - http://sendpic.org/view/1/i/cecehJbMB40oWkjb9geqpaPxbsN.jpg

Не знаю как насчёт 30 секунд (хотя в самом пакете этот период я заметил) но минуты за три была отправлена пачка browser - запросов. За ними следовала пачка nbns-ответов от других машин.

В тонкостях протокола и механизма по которому с ним работает zyxel с ним я не в курсе (от слова совсем), но насколько я понимаю, роутер находится в постоянном поиске "соседей".

Edited by OmegaTron
Link to comment
Share on other sites

  • 0
3 минуты назад, vst сказал:

Выкладывайте дамп, можно в скрытом сообщении. И укажите свои замечания.

Гм, а смысл в дампе ? Или на частоту генерации browser-запросов что-то влияет ? Имхо, но мне проще действительно smb вырубить, чем заморачиваться ещё больше О_о Тем более я им пользуюсь раз в пятилетку и юзаю преимущественно ftp.

Link to comment
Share on other sites

  • 0
1 минуту назад, OmegaTron сказал:

Гм, а смысл в дампе ? Или на частоту генерации browser-запросов что-то влияет ? Имхо, но мне проще действительно smb вырубить, чем заморачиваться ещё больше О_о Тем более я им пользуюсь раз в пятилетку и юзаю преимущественно ftp.

Смысл в том что вашей картинке нет того что вы описываете, только анонсы раз в 30 секунд.

Link to comment
Share on other sites

  • 0
3 минуты назад, r13 сказал:

Смысл в том что вашей картинке нет того что вы описываете, только анонсы раз в 30 секунд.

Это browser-запросы за 3 минуты, nbns я отфильтровал.

Edited by OmegaTron
Link to comment
Share on other sites

  • 0

Посмотрите в сторону

Версия 2.11.A.2.0-0:

  • добавлена поддержка протокола LLDP, включается автоматически:
    • interface {name} lldp disable — отключить рассылку на заданном интерфейсе

Версия 2.11.A.3.0-2:

LLDP выключен по умолчанию на интерфейсах public и protected

Без имени-2.jpg

Edited by vasek00
Link to comment
Share on other sites

  • 0
31 минуту назад, OmegaTron сказал:

Это browser-запросы за 3 минуты, nbns я отфильтровал.

Покажите какой именно флуд вам кажется не правильным.

Link to comment
Share on other sites

  • 0
18 часов назад, vasek00 сказал:

Посмотрите в сторону

Версия 2.11.A.2.0-0:

Спасибо, я подумаю - обновляться на тестовые/экспериментальные не хочется.

18 часов назад, r13 сказал:

Покажите какой именно флуд вам кажется не правильным.

Интенсивные browser-запросы и каскадно отвечающие на них устройства. Как я уже писал, там за минуту отправляется не 2 запроса, а на порядок больше, что создаёт паразитный траффик который мне и мешает. Пока решил вопрос банально - как ранее и советовали, вырубил smb.

Link to comment
Share on other sites

  • 0
35 минут назад, OmegaTron сказал:

Интенсивные browser-запросы и каскадно отвечающие на них устройства. Как я уже писал, там за минуту отправляется не 2 запроса, а на порядок больше, что создаёт паразитный траффик который мне и мешает. Пока решил вопрос банально - как ранее и советовали, вырубил smb.

Выше скрин 2.11A808 и интервал в 30сек. не нарушен.

<process id="Link-layer discovery observer">
        <name>nlldo</name>
  ...
   <statistics>
            <interval>30</interval>
            <cpu>
                <now>14230.505127</now>
                <min>0</min>
                <max>0</max>
                <avg>0</avg>
                <cur>0</cur>
            </cpu>
   </statistics>
  ...
<process id="LLDP agent on Bridge0">
        <name>nllda</name>
  ...
  <statistics>
            <interval>30</interval>
            <cpu>
                <now>14230.505142</now>
                <min>0</min>
                <max>0</max>
                <avg>0</avg>
                <cur>0</cur>
            </cpu>
  </statistics>
  
  за 4 часа работы.

У вас на скрине в графе time интервал 30сек. так же BROWSER от роутера.

Link to comment
Share on other sites

  • 0
58 минут назад, vasek00 сказал:

У вас на скрине в графе time интервал 30сек. так же BROWSER от роутера

Действительно, таймкод с интервалом в 30 секунд. Похоже я засёк время позже, чем пошло снятие дампа. Так что тут был неправ и поспешил с выводами, согласен. Но это не отменяет каскадного ответа от других устройств (а их хватает) на browser - запросы :)  Так или иначе smb я отключил и избавился от проблемы. Понадобится smb без запросов - обновлюсь до 2.11.A.2.0-0 или выше ;)

Link to comment
Share on other sites

  • 0
31 минуту назад, OmegaTron сказал:

Но это не отменяет каскадного ответа от других устройств (а их хватает) на browser - запросы :)  Так или иначе smb я отключил и избавился от проблемы. Понадобится smb без запросов - обновлюсь до 2.11.A.2.0-0 или выше ;)

В сети два Keen на 2.11А8 не чего не изменилось как и на скрине, не кто не куда не "сыпет", в 2.11 были изменения про которые написано выше и все. Единственное сыпет это ARP запросы для определения онлайн устройств и для DHCP но его так же можно отключить при жедании.

У вас какая хоть стоит?

Link to comment
Share on other sites

  • 0
25 минут назад, vasek00 сказал:

У вас какая хоть стоит?

v2.08(AAUS.4)C2

Как я уже писал - не имею привычки юзать бэты/экспериментальные во избежание лишних проблем :)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...