2016年12月14日 星期三

LLMNR的封包造成設備異常,用戶無法連線?真的假的?

去年吧(2015), 我們台中的設備據說被用戶的LLMNR打到設備生活不能自理(用戶不能上網),廠商建議我們設定ACL來保護我們的設備。又請網管部門開發了監控機制,如果有LLMNR的封包造成封包被drop就會觸發告警。

幾個月前(2016/08?),高雄收到了封包被drop的告警。但奇怪,不是已經設定了阻擋LLMNR的ACL,怎麼還會觸發告警呢?

所以我只好作一個LAB來驗證。

BRAS的設定如下:
 





接著我在電腦上安裝了Colasoft Packet Builder來製造LLMNR的封包。






 


Destination MAC、IP和port就依RFC的規定來設定。

最後把電腦的網路線接上設備準備開始測試。


 
用tcpdump來觀察,可以看到IP、Port都有照我們的規劃在送


我們在interface裡把access-group cbu-attack-vpn拿掉。接著看一下ACL有沒有生效。






admin-acl是進入context的acl,看起來seq 300都維持在750。並沒有增加

接著把interface上的acl加回。


看起來是有match的啊,這個時候我們回頭檢查drop。但drop一直沒有增加,不管我封包打多快都一樣。


最後我們再把interface上的acl拿掉。但drop還是沒有增加...



結論:
我無法確定當時的drop packet是因為line card無法處理這些LLMNR封包的關係 (或許有關係,但我設定每1ms就打封包,然後一次打1萬個也無法觸發drop,感覺跟速度及量無關 (我是用1G線路對接應該比用戶家裡的VDSL快吧)。
而且就算我沒有設定acl也是不會有drop,所以我無法確認LLMNR是否因為ACL被攔阻與否造成drop。這也與我們之前2015年8月遇到的,明明有開acl卻還是有drop相同。

因此,我大擔的假設。之前台中的drop根本就與LLMNR無關...

題外話,最奇怪的是,admin-acl突然match seq 300的數量增加了..怪哉

明明之前沒有match的啊....












2016年12月11日 星期日

再會了,惠而浦的電暖器

基本上,我可以接受東西用沒幾次就壞的事實。

原則上,我也能理解過保固要酌收維修費的情形。

但是,我不能接受剛過保固就說已經沒有料可以更換的狀況。

所以,再會了,惠而浦。我以後不會再買你們的家電了。

2016年12月8日 星期四

RAID 卡 3w-9650se-2lp 在Ubuntu 14.04.1 LTS的安裝方法

最近買了一塊二手的 RAID 卡 3w-9650se-2lp,試著在Ubuntu的環境下安裝,以下是安裝心得:

1,因此你可能會想要跟一般內建的RAID卡一樣,進BIOS建群組,但放棄吧。在一般的PC這個辦法是不行的。至少我在這裡沒有看到我的硬碟。如果你運氣好的話,有看到硬碟也建好了群組,這樣你可以省略後面的2~9步驟。

2、你會看到這個訊息:3ware bios not installed,然後試著去安裝它的BIOS。但是放棄吧,也許有些人告訴你可以更新韌體什麼的。但風險太大變數也太大。請務實的放棄這個作法。

3、既然在BIOS的層級不能解決,那我們就只能在作業系統的層級解決了。還好,我的Ubuntu好像認識它:


4、所以你可以去找一個程式,它是安裝精靈。在http://rnd.rajven.net/firmware/3ware/9650-SE/
名稱是:3DM2_CLI-Linux-x86_64-9.5.2.tgz 
我猜想可能不會有新版了吧,把它抓下來解壓縮再給它執行的權限

5、執行它
./setupLinux_x64.bin
它會安裝一個Web介面讓你遠端操作,因此比較重要的點應該是要不要允許遠端連入

6、如果你不小心按錯了,可以編輯這個檔案:/etc/3dm2/3dm2.conf
裡面RemoteAccess 改成1,如果你看預設的Port 888不順便,你也可以改它。
然後kill 3dm2之後再重新啟動它。


7、接著你就可以用瀏覽器來設定它了。但如果你跟我一樣運氣不好,瀏覽器說有安全issue不給你用,那你會需要CLI的幫忙,所以我們下載tw_cli-linux-x86_64-9.5.2.tgz

8 、同樣把它解壓縮再給它權限最後執行它

9、 接著就是相關操作,就不再贅述了....