SMG-200 флуд исходящего UDP трафика
Добавлено: 02 фев 2023 04:41
Добрый день, уважаемые участники форума! Сложилась странная и отнюдь не приятная ситуация.
Приобрели организацию IP АТС SMG-200 и TAU-72.IP. Настроили и всё вроде работает как часы. Но заметил что в момент когда ни входящих ни исходящих вызовов нет на АТС'ке идет какой-то трафик (Плановые работы на ЛВС, оставался ночью). Сначала напугало сильно. Мол взломали из вне и всё такое... Побежал копать. Получилось узнать следующее:
- это Unicast
- UDP-трафик
- около 100 kbps/s
- направление от SMG-200 в сторону TAU-72.IP
- по мониторингу zabbix узнал что началось это еще в вечером прошлого(!) дня.
Убедился что это не "хакеры-фигакеры..." оставил всё как есть и пошел заниматься делами дальше.
Наступил новый день и пока я изучал интернет на предмет решения - этот трафик резко пропал.
Не понимая природу этого решил посмотреть в что происходило в момент появления флуда и в момент когда он пропал.
Вот ни чего не нашел криминального, за исключением двух странных моментов.
Первое:
- ровно в момент появления флуда был звонок на определенный внутренний номер.
- ровно в момент пропадания флуда этот номер позвонил на другой внутренний номер.
- между этими событиями этот номер не звонил. Совпадение? Не думаю =/
Второе:
Имеется флешка на 16Гб для записи разговоров и на момент начала флуда она была заполнена примерно на 2% (так получилось что я его отчистил за два дня до этого, скинув всё на FTP). Так вот как только флуд пропал - флешка резко заполнилась на 25%(!). Совпадение? Уже знаю что точно нет! =/
Подумал что глюк какой-то и забыл. Но это повторилось буквально через пару дней. Только уже с voip-телефоном. Пока проблемы была "на руках" решил понято кто виноват. Первым делом перезагрузил voip-телефон. Телефон пошел в ребут, ПОка перезагружался - трафик пропал. Как только телефон загрузился (он вроде как даже просто поднял интерфейс и уже посыпалось) всё началось снова. Удивительно но проблем со звонками или функционалом в целом не было вообще ни каких (такая же ситуация и с tau-72.ip была). Телефон шустро поднял регистрацию и был готов звонить или принимать звонки. Проверил звоня на него и с него - флуд ни куда не пропал.
Ну а потом попробовал в SMG-200 для начала перезагрузить ПО, но это тоже не дало результатов.
В конце просто перезагрузил SMG-200 и флуд исчез.
Что это вообще такое и куда копать?!
з.ы. был кстати один раз что на один внутренний номер нельзя было дозвониться - занятость линии и всё тут. Сам же телефон висел на tau-72.ip и в трубке зумер был обычный. Даже с него можно было звонить. А вот на него нет. Всё облазил. Ни чего не помогло. Только вот перезагрузил и заработало. Может это как-то связано с вышесказанной проблемой... Прилагаю скрины трассировки. Там всё монотонно. Меняется только наполнение в виде полезной нагрузки udp-пакетов.
Буду благодарен любым советом. Спасибо!
Забыл написать что в трассировке
10.10.30.2 - это SMG-200
10.10.30.4 - это TAU-72.IP
И ещё думаю будет хорошим тоном оставить данные по железкам:
SMG-200
Версия ПО V.3.20.3.4783 200/PBX/VAS/REC/IVR Build: Nov 3 2022 11:34:58
Версия SIP-адаптера 3.20.3.5
IVR модуль 0.0.0.8970.079494
Лицензии:
SMG-PBX (200)
SMG-VAS
SMG-REC
SMG-IVR
TAU-72.IP
Версия ПО: 2.21.0.41
Версия Linux: 312 Mon Sep 5 04:46:16 UTC 2022
Версия медиа процессора: v10_23_03_15
Версия BPU: TAU72 PLD v20190228 date: 2019 Feb 28 time 11:42:17
Тип устройства: TAU-72.IP_AC
Идентификатор аппаратной платформы: 0x13
Приобрели организацию IP АТС SMG-200 и TAU-72.IP. Настроили и всё вроде работает как часы. Но заметил что в момент когда ни входящих ни исходящих вызовов нет на АТС'ке идет какой-то трафик (Плановые работы на ЛВС, оставался ночью). Сначала напугало сильно. Мол взломали из вне и всё такое... Побежал копать. Получилось узнать следующее:
- это Unicast
- UDP-трафик
- около 100 kbps/s
- направление от SMG-200 в сторону TAU-72.IP
- по мониторингу zabbix узнал что началось это еще в вечером прошлого(!) дня.
Убедился что это не "хакеры-фигакеры..." оставил всё как есть и пошел заниматься делами дальше.
Наступил новый день и пока я изучал интернет на предмет решения - этот трафик резко пропал.
Не понимая природу этого решил посмотреть в что происходило в момент появления флуда и в момент когда он пропал.
Вот ни чего не нашел криминального, за исключением двух странных моментов.
Первое:
- ровно в момент появления флуда был звонок на определенный внутренний номер.
- ровно в момент пропадания флуда этот номер позвонил на другой внутренний номер.
- между этими событиями этот номер не звонил. Совпадение? Не думаю =/
Второе:
Имеется флешка на 16Гб для записи разговоров и на момент начала флуда она была заполнена примерно на 2% (так получилось что я его отчистил за два дня до этого, скинув всё на FTP). Так вот как только флуд пропал - флешка резко заполнилась на 25%(!). Совпадение? Уже знаю что точно нет! =/
Подумал что глюк какой-то и забыл. Но это повторилось буквально через пару дней. Только уже с voip-телефоном. Пока проблемы была "на руках" решил понято кто виноват. Первым делом перезагрузил voip-телефон. Телефон пошел в ребут, ПОка перезагружался - трафик пропал. Как только телефон загрузился (он вроде как даже просто поднял интерфейс и уже посыпалось) всё началось снова. Удивительно но проблем со звонками или функционалом в целом не было вообще ни каких (такая же ситуация и с tau-72.ip была). Телефон шустро поднял регистрацию и был готов звонить или принимать звонки. Проверил звоня на него и с него - флуд ни куда не пропал.
Ну а потом попробовал в SMG-200 для начала перезагрузить ПО, но это тоже не дало результатов.
В конце просто перезагрузил SMG-200 и флуд исчез.
Что это вообще такое и куда копать?!
з.ы. был кстати один раз что на один внутренний номер нельзя было дозвониться - занятость линии и всё тут. Сам же телефон висел на tau-72.ip и в трубке зумер был обычный. Даже с него можно было звонить. А вот на него нет. Всё облазил. Ни чего не помогло. Только вот перезагрузил и заработало. Может это как-то связано с вышесказанной проблемой... Прилагаю скрины трассировки. Там всё монотонно. Меняется только наполнение в виде полезной нагрузки udp-пакетов.
Буду благодарен любым советом. Спасибо!
Забыл написать что в трассировке
10.10.30.2 - это SMG-200
10.10.30.4 - это TAU-72.IP
И ещё думаю будет хорошим тоном оставить данные по железкам:
SMG-200
Версия ПО V.3.20.3.4783 200/PBX/VAS/REC/IVR Build: Nov 3 2022 11:34:58
Версия SIP-адаптера 3.20.3.5
IVR модуль 0.0.0.8970.079494
Лицензии:
SMG-PBX (200)
SMG-VAS
SMG-REC
SMG-IVR
TAU-72.IP
Версия ПО: 2.21.0.41
Версия Linux: 312 Mon Sep 5 04:46:16 UTC 2022
Версия медиа процессора: v10_23_03_15
Версия BPU: TAU72 PLD v20190228 date: 2019 Feb 28 time 11:42:17
Тип устройства: TAU-72.IP_AC
Идентификатор аппаратной платформы: 0x13