Как отключить smb/netbios флуд ?

[OmegaTron]

Давно обратил внимание, что роутер флудит netbios-пакетами (или чем-то подобным, к содержимому не приглядывался) Сканирование сети/запросы в сеть со стороны роутера можно как-то прекратить ? Мешает при анализе траффика "забивая" эфир (фильтры в сниффере дело конечно хорошее, но хотелось бы "заткнуть" флудильщика) ...

[r13]

57 минут назад, OmegaTron сказал:

Давно обратил внимание, что роутер флудит netbios-пакетами (или чем-то подобным, к содержимому не приглядывался) Сканирование сети/запросы в сеть со стороны роутера можно как-то прекратить ? Мешает при анализе траффика "забивая" эфир (фильтры в сниффере дело конечно хорошее, но хотелось бы "заткнуть" флудильщика) ...

Отключить smb, и smb flood закончится.

ЗЫ Не так уж и много там, пара пакетов раз в 30 секунд.

Изменено 27 ноября, 2017 пользователем r13

[OmegaTron]

36 минут назад, r13 сказал:

Отключить smb, и smb flood закончится.

Другие устройства с самбой/smb не флудят так, как zyxel, иначе бы я не поднимал этот вопрос  И там не пара пакетов, по крайней мере у меня. Позже сделаю дамп, покажу скрины.

Изменено 27 ноября, 2017 пользователем OmegaTron

[slomblobov]

@OmegaTron Речь идет о протоколе netbios или browser? Первое, что может броситься в глаза - это частые host announcement, максимальный интервал интервал рассылки который установлен в 30 секунд.

[OmegaTron]

2 часа назад, vst сказал:

@OmegaTron Речь идет о протоколе netbios или browser? Первое, что может броситься в глаза - это частые host announcement, максимальный интервал интервал рассылки который установлен в 30 секунд.

Сейчас глянул сниффер - browser - http://sendpic.org/view/1/i/cecehJbMB40oWkjb9geqpaPxbsN.jpg

Не знаю как насчёт 30 секунд (хотя в самом пакете этот период я заметил) но минуты за три была отправлена пачка browser - запросов. За ними следовала пачка nbns-ответов от других машин.

В тонкостях протокола и механизма по которому с ним работает zyxel с ним я не в курсе (от слова совсем), но насколько я понимаю, роутер находится в постоянном поиске "соседей".

Изменено 27 ноября, 2017 пользователем OmegaTron

[slomblobov]

@OmegaTron Выкладывайте дамп, можно в скрытом сообщении. И укажите свои замечания.

[OmegaTron]

3 минуты назад, vst сказал:

Выкладывайте дамп, можно в скрытом сообщении. И укажите свои замечания.

Гм, а смысл в дампе ? Или на частоту генерации browser-запросов что-то влияет ? Имхо, но мне проще действительно smb вырубить, чем заморачиваться ещё больше О_о Тем более я им пользуюсь раз в пятилетку и юзаю преимущественно ftp.

[r13]

1 минуту назад, OmegaTron сказал:

Гм, а смысл в дампе ? Или на частоту генерации browser-запросов что-то влияет ? Имхо, но мне проще действительно smb вырубить, чем заморачиваться ещё больше О_о Тем более я им пользуюсь раз в пятилетку и юзаю преимущественно ftp.

Смысл в том что вашей картинке нет того что вы описываете, только анонсы раз в 30 секунд.

[OmegaTron]

3 минуты назад, r13 сказал:

Смысл в том что вашей картинке нет того что вы описываете, только анонсы раз в 30 секунд.

Это browser-запросы за 3 минуты, nbns я отфильтровал.

Изменено 27 ноября, 2017 пользователем OmegaTron

[vasek00]

Посмотрите в сторону

Версия 2.11.A.2.0-0:

• добавлена поддержка протокола LLDP, включается автоматически:
  • interface {name} lldp disable — отключить рассылку на заданном интерфейсе

Версия 2.11.A.3.0-2:

LLDP выключен по умолчанию на интерфейсах public и protected

Изменено 27 ноября, 2017 пользователем vasek00

[r13]

31 минуту назад, OmegaTron сказал:

Это browser-запросы за 3 минуты, nbns я отфильтровал.

Покажите какой именно флуд вам кажется не правильным.

[OmegaTron]

18 часов назад, vasek00 сказал:

Посмотрите в сторону

Версия 2.11.A.2.0-0:

Спасибо, я подумаю - обновляться на тестовые/экспериментальные не хочется.

18 часов назад, r13 сказал:

Покажите какой именно флуд вам кажется не правильным.

Интенсивные browser-запросы и каскадно отвечающие на них устройства. Как я уже писал, там за минуту отправляется не 2 запроса, а на порядок больше, что создаёт паразитный траффик который мне и мешает. Пока решил вопрос банально - как ранее и советовали, вырубил smb.

[vasek00]

35 минут назад, OmegaTron сказал:

Интенсивные browser-запросы и каскадно отвечающие на них устройства. Как я уже писал, там за минуту отправляется не 2 запроса, а на порядок больше, что создаёт паразитный траффик который мне и мешает. Пока решил вопрос банально - как ранее и советовали, вырубил smb.

Выше скрин 2.11A808 и интервал в 30сек. не нарушен.

<process id="Link-layer discovery observer">
        <name>nlldo</name>
  ...
   <statistics>
            <interval>30</interval>
            <cpu>
                <now>14230.505127</now>
                <min>0</min>
                <max>0</max>
                <avg>0</avg>
                <cur>0</cur>
            </cpu>
   </statistics>
  ...
<process id="LLDP agent on Bridge0">
        <name>nllda</name>
  ...
  <statistics>
            <interval>30</interval>
            <cpu>
                <now>14230.505142</now>
                <min>0</min>
                <max>0</max>
                <avg>0</avg>
                <cur>0</cur>
            </cpu>
  </statistics>
  
  за 4 часа работы.

У вас на скрине в графе time интервал 30сек. так же BROWSER от роутера.

[vasek00]

За десять минут с роутера 130.200 на 192.168.130.255. клиент только LAN windows 7.

[OmegaTron]

58 минут назад, vasek00 сказал:

У вас на скрине в графе time интервал 30сек. так же BROWSER от роутера

Действительно, таймкод с интервалом в 30 секунд. Похоже я засёк время позже, чем пошло снятие дампа. Так что тут был неправ и поспешил с выводами, согласен. Но это не отменяет каскадного ответа от других устройств (а их хватает) на browser - запросы  Так или иначе smb я отключил и избавился от проблемы. Понадобится smb без запросов - обновлюсь до 2.11.A.2.0-0 или выше

[vasek00]

31 минуту назад, OmegaTron сказал:

Но это не отменяет каскадного ответа от других устройств (а их хватает) на browser - запросы  Так или иначе smb я отключил и избавился от проблемы. Понадобится smb без запросов - обновлюсь до 2.11.A.2.0-0 или выше

В сети два Keen на 2.11А8 не чего не изменилось как и на скрине, не кто не куда не "сыпет", в 2.11 были изменения про которые написано выше и все. Единственное сыпет это ARP запросы для определения онлайн устройств и для DHCP но его так же можно отключить при жедании.

У вас какая хоть стоит?

[OmegaTron]

25 минут назад, vasek00 сказал:

У вас какая хоть стоит?

v2.08(AAUS.4)C2

Как я уже писал - не имею привычки юзать бэты/экспериментальные во избежание лишних проблем