О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

После обновления SMG1016M до версии 3.8.0.2088

ECSS-10, TAU.IP, SMG, RG
panfilov_ms
Сообщения: 19
Зарегистрирован: 04 фев 2016 18:08
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение panfilov_ms » 18 авг 2017 14:47

Fluke писал(а):
panfilov_ms писал(а):
Fluke писал(а):

Причина была найдена. Дело в том, что в момент обновления устройства, скопилась большая очередь на регистрацию от клиентов. Естественно что пока устройство обновляется клиенты шлют регистрацию но не получают ответа. И вот когда устройство обновилось, началась обработка регистраций всех желающих клиентов. Среднее время запроса регистрации 120 секунд. Это видно по графику. Таким образом каждые 120 секунд обрабатывается большой шквал запросов на регистрацию.

Выход:
В настройках SIP я выставил минимально разрешённое время регистрации в 600 секунд, после чего клиенты принудительно регистрируются каждые 600 секунд. График выровнялся, и такие скачки теперь только каждые 10 минут.



а если у меня нету сип-абонентов?



Вас может ддосят. Основная нагрузка из-за частых RADIUS запросов.


fail2ban, firewall, Список разрешенных IP адресов - все активно, т.е. максимальная защита, но CPU прыгает

panfilov_ms
Сообщения: 19
Зарегистрирован: 04 фев 2016 18:08
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение panfilov_ms » 18 авг 2017 14:50

a1daa68536.png
a1daa68536.png (31.95 КБ) 7830 просмотров
28713f0245.png
28713f0245.png (26.73 КБ) 7830 просмотров
2e85359f3c.png
2e85359f3c.png (35.45 КБ) 7830 просмотров

Fluke
Сообщения: 98
Зарегистрирован: 27 окт 2013 22:21
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение Fluke » 22 авг 2017 14:10

panfilov_ms писал(а):
Fluke писал(а):
panfilov_ms писал(а):

а если у меня нету сип-абонентов?



Вас может ддосят. Основная нагрузка из-за частых RADIUS запросов.


fail2ban, firewall, Список разрешенных IP адресов - все активно, т.е. максимальная защита, но CPU прыгает


Может быть ещё какие то службы есть активные? Например: sntp, snmp, ftp, cdr_report. Службы, которые сами лезут в инет, типа SNTP, DNS, для них в фаерволе должен быть открыт порт на приём ответов от всех серверов, к которым она обращается. Через TOP посмотрите какой процесс совершает всплески нагрузки

s45rus
Сообщения: 55
Зарегистрирован: 15 июл 2014 12:33
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение s45rus » 07 сен 2017 13:45

Что из telnet/ssh можно сделать в такой ситуации для диагностики проблемы? WEB не отвечает в такие моменты.
CPU.png
CPU.png (249.2 КБ) 7724 просмотра


Журнал за сегодня
0:32:36 07/09/17 [4664] State 'WARNING '. Params [65539:01:00:'51.15.48.26 ; SIP: Too many requests from address']. Object 'FAIL2BAN'.
0:37:02 07/09/17 [4665] State 'WARNING '. Params [65539:01:00:'85.24.133.183 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
0:48:50 07/09/17 [4666] State 'WARNING '. Params [65539:01:00:'78.31.154.200 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
1:29:33 07/09/17 [4667] State 'WARNING '. Params [65539:01:00:'14.201.25.54 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
1:32:52 07/09/17 [4668] State 'WARNING '. Params [65539:01:00:'59.95.129.199 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
1:45:03 07/09/17 [4669] State 'WARNING '. Params [65539:01:00:'103.89.88.10 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
1:48:50 07/09/17 [4670] State 'WARNING '. Params [65539:01:00:'82.205.10.226 ; SIP: Too many requests from address']. Object 'FAIL2BAN'.
2:25:39 07/09/17 [4671] State 'WARNING '. Params [65539:01:00:'104.196.154.13 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
2:50:40 07/09/17 [4672] State 'WARNING '. Params [65539:01:00:'121.46.31.73 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
3:23:55 07/09/17 [4673] State 'WARNING '. Params [65539:01:00:'191.84.96.153 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
3:54:32 07/09/17 [4674] State 'WARNING '. Params [65539:01:00:'181.26.147.30 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
4:01:29 07/09/17 [4675] State 'WARNING '. Params [65539:01:00:'42.227.239.50 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
4:33:24 07/09/17 [4676] State 'WARNING '. Params [65539:01:00:'186.205.31.27 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
4:42:30 07/09/17 [4677] State 'WARNING '. Params [65539:01:00:'222.107.38.1 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
5:07:44 07/09/17 [4678] State 'WARNING '. Params [65539:01:00:'174.100.60.23 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
5:09:35 07/09/17 [4679] State 'WARNING '. Params [65539:01:00:'109.195.94.140 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
6:02:53 07/09/17 [4680] State 'WARNING '. Params [65539:01:00:'68.14.19.81 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
6:56:20 07/09/17 [4681] State 'WARNING '. Params [65539:01:00:'219.92.16.253 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
7:54:50 07/09/17 [4682] State 'WARNING '. Params [65539:01:00:'212.129.61.254 ; SIP: Too many requests from address']. Object 'FAIL2BAN'.
8:07:35 07/09/17 [4683] State 'WARNING '. Params [65539:01:00:'42.201.151.251 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
8:16:11 07/09/17 [4684] State 'WARNING '. Params [65539:01:00:'181.211.88.212 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
8:35:20 07/09/17 [4685] State 'WARNING '. Params [65539:01:00:'190.205.54.150 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
8:50:48 07/09/17 [4686] State 'WARNING '. Params [65539:01:00:'190.196.156.134 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
9:10:35 07/09/17 [4687] State 'WARNING '. Params [65539:01:00:'188.18.83.124 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
9:12:18 07/09/17 [4688] State 'WARNING '. Params [65539:01:00:'182.64.55.77 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
9:41:59 07/09/17 [4689] State 'WARNING '. Params [65539:01:00:'190.43.87.240 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
9:47:42 07/09/17 [4690] State ' ALERT '. Params [00:05:01:'']. Object 'PROC-OVERLOAD'.
9:59:21 07/09/17 [4691] State 'WARNING '. Params [65539:01:00:'195.22.126.177 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
11:26:14 07/09/17 [4692] State 'WARNING '. Params [65539:01:00:'112.144.41.186 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
11:36:04 07/09/17 [4693] State 'WARNING '. Params [65539:01:00:'60.205.202.48 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
11:53:41 07/09/17 [4694] State 'WARNING '. Params [65539:01:00:'186.129.23.222 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
12:00:45 07/09/17 [4695] State 'WARNING '. Params [65539:01:00:'200.77.191.25 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
12:29:44 07/09/17 [4696] State 'WARNING '. Params [65539:01:00:'139.59.90.162 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.
12:44:39 07/09/17 [4697] State 'WARNING '. Params [65539:01:00:'190.179.253.237 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.

Полоса интернет за последние 12 часов

eth0.png
eth0.png (98.67 КБ) 7722 просмотра


Иными словами, нет ни ДДОСа, ни брутфорса.
Последний раз редактировалось s45rus 07 сен 2017 14:12, всего редактировалось 1 раз.

Bokrenok
Сообщения: 406
Зарегистрирован: 04 сен 2006 14:49
Reputation: 0
Откуда: ELTEX

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение Bokrenok » 07 сен 2017 14:09

Код: Выделить всё

kill -9 546

s45rus
Сообщения: 55
Зарегистрирован: 15 июл 2014 12:33
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение s45rus » 07 сен 2017 14:14

kill прибьет проблему, но причину-то ее нужно искать!

Bokrenok
Сообщения: 406
Зарегистрирован: 04 сен 2006 14:49
Reputation: 0
Откуда: ELTEX

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение Bokrenok » 08 сен 2017 10:44

s45rus писал(а):kill прибьет проблему, но причину-то ее нужно искать!


к сожалению, прямо в текущий момент уже не выяснить, что приключилось с web,
пока остаётся только перезапустить его и наблюдать за дальнейшим поведением
в частности, если вдруг web снова отвалится - попытаться вспомнить/запомнить какое последнее действие с ним было произведено, возможно это даст ключ к пониманию проблемы.

s45rus писал(а): 0:37:02 07/09/17 [4665] State 'WARNING '. Params [65539:01:00:'85.24.133.183 ; SSH: Too many requests from address']. Object 'FAIL2BAN'.


Вы решили интерфейс управления устройством выставить в открытый доступ? да ещё и на дефолтных портах?
по-моему Ваш SSH-интерфейс ломают потихоньку :)

срочно убирайте всё управление в отдельный VLAN, доступ к которому разрешен только из административной private-сети, но никак не public-интернет

п.с. как вариант напишите в ТП, с просьбой дать рекомендации по настройке защиты на SMG

s45rus
Сообщения: 55
Зарегистрирован: 15 июл 2014 12:33
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение s45rus » 08 сен 2017 11:33

Я все понимаю про SSH на стандартном порту внешнего интерфейса. Но посмотрите название темы. И после киляния процесса, что, попытки прекращаются? Нет же. Если webspp отвечает за SSH, то логично предположение, что процесс просто "наедается", чего не происходило в прошлых версиях ПО.
Fail2ban дает 3 попытки. При шквальной бобмёжке SSH, журнал событий содержал бы тонны записей. А их несколько штук за час.
Брутфорс мы знаем и видели, как это выглядит, хотя бы по информации SNMP.

panfilov_ms
Сообщения: 19
Зарегистрирован: 04 фев 2016 18:08
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение panfilov_ms » 28 ноя 2018 12:22

уже версия ПО 3.10 а проблема все больше усугубляется :?

2life
Сообщения: 46
Зарегистрирован: 19 дек 2013 01:41
Reputation: 0
Откуда: Нижний Новгород
Контактная информация:

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение 2life » 10 дек 2018 16:30

А это не банальный брутфорс? Вы WEB так же открыто держите в WAN?

s45rus
Сообщения: 55
Зарегистрирован: 15 июл 2014 12:33
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение s45rus » 10 дек 2018 19:12

Если 10-20 попыток в час считать брутфорсом, то да...

Bokrenok
Сообщения: 406
Зарегистрирован: 04 сен 2006 14:49
Reputation: 0
Откуда: ELTEX

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение Bokrenok » 15 дек 2018 11:00

panfilov_ms писал(а):уже версия ПО 3.10 а проблема все больше усугубляется :?


а можно чуть подробнее: какая конкретно у Вас проблема, чем она выражается/проявляется?

скрины загрузки CPU можно приложить и вывод top за 20-30 минут работы (в файло-обменник выложить или сюда приаттачить), чтобы мы могли как-то оценить ситуацию.

p.s. полистал тему наверх, увидел только скрины загрузки CPU... но какой процесс грузит пока не очевидно
поэтому желательно выложить актуальные скрины + скрин первой страницы web (чтобы версию ПО увидеть) + top пособирать минут 10-15

p.p.s можно предположить, что грузит проц SIP-адаптер
периодичность по старым скринам ровно раз в минуту...
сколько SIP-интерфейсов у Вас? опрос OPTIONS на них как настроен?

s45rus
Сообщения: 55
Зарегистрирован: 15 июл 2014 12:33
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение s45rus » 17 дек 2018 18:38

Скрин загрузки процессора.

cpu.png
cpu.png (45.86 КБ) 6148 просмотров


Скрин информации.

info.png
info.png (71.33 КБ) 6148 просмотров


И вот какой интересный журнал с этого SMG. Момент начала 100% загрузки процессора не зафиксирован. А событие, которое зафиксировало "разгрузку" процессора, попало куда-то в "середину" журнала. За одно и "фрод" видно.

Код: Выделить всё

14:16:28 15/12/18  [0170] State 'WARNING '. Address '218.92.1.173' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
14:38:56 15/12/18  [0171] State 'WARNING '. Address '121.234.14.31' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
16:56:44 15/12/18  [0172] State 'WARNING '. Address '185.130.225.67' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
17:20:45 15/12/18  [0173] State 'WARNING '. Address '185.79.251.116' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
18:49:40 15/12/18  [0174] State 'WARNING '. Address '205.185.126.201' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
23:31:39 15/12/18  [0175] State 'WARNING '. Address '171.15.184.205' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
01:37:52 16/12/18  [0176] State 'WARNING '. Address '173.249.5.140' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
10:02:10 17/12/18  [0177] State '   OK   '. CPU load in normal.
02:17:42 16/12/18  [0178] State 'WARNING '. Address '69.246.89.249' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
08:28:46 16/12/18  [0179] State 'WARNING '. Address '186.130.238.64' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
09:31:08 16/12/18  [0180] State 'WARNING '. Address '139.59.173.17' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
09:44:26 16/12/18  [0181] State 'WARNING '. Address '27.114.147.60' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
10:48:55 16/12/18  [0182] State 'WARNING '. Address '188.187.119.102' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
11:08:29 16/12/18  [0183] State 'WARNING '. Address '95.246.240.175' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
13:50:33 16/12/18  [0184] State 'WARNING '. Address '153.124.171.133' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
16:51:02 16/12/18  [0185] State 'WARNING '. Address '121.22.80.117' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
18:00:53 16/12/18  [0186] State 'WARNING '. Address '93.177.53.70' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
18:13:32 16/12/18  [0187] State 'WARNING '. Address '121.88.250.84' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
18:43:58 16/12/18  [0188] State 'WARNING '. Address '61.214.63.43' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
21:35:07 16/12/18  [0189] State 'WARNING '. Address '112.161.175.197' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
23:58:18 16/12/18  [0190] State 'WARNING '. Address '142.93.68.151' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
03:05:18 17/12/18  [0191] State 'WARNING '. Address '191.85.194.229' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
05:11:20 17/12/18  [0192] State 'WARNING '. Address '179.49.75.204' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
05:27:53 17/12/18  [0193] State 'WARNING '. Address '177.180.66.151' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
06:25:48 17/12/18  [0194] State 'WARNING '. Address '209.141.33.57' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
06:40:34 17/12/18  [0195] State 'WARNING '. Address '188.18.196.229' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
07:28:43 17/12/18  [0196] State 'WARNING '. Address '45.5.101.45' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
09:11:47 17/12/18  [0197] State 'WARNING '. Address '50.204.97.60' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
09:19:27 17/12/18  [0198] State 'WARNING '. Address '218.148.136.1' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
09:54:16 17/12/18  [0199] State 'WARNING '. Address '39.72.83.49' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
14:42:05 17/12/18  [0200] State 'WARNING '. Address '108.160.143.199' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.
16:20:30 17/12/18  [0201] State 'WARNING '. Address '91.236.116.214' added into blacklist after 1 hits with cause: 'SSH: Too many requests from address'.


TOP нужно собирать так, чтобы поймать момент начала 100% загрузки? Если так, то практически невозможно поймать. Так как проблема непериодична. И проявляется "то там, то сям".

Bokrenok
Сообщения: 406
Зарегистрирован: 04 сен 2006 14:49
Reputation: 0
Откуда: ELTEX

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение Bokrenok » 19 дек 2018 12:03

s45rus писал(а):TOP нужно собирать так, чтобы поймать момент начала 100% загрузки? Если так, то практически невозможно поймать. Так как проблема непериодична. И проявляется "то там, то сям".


достаточно увидеть уже проблемную ситуацию: какой процесс грузит CPU.

в Вашем случае это был web-интерфейс?
проблема решилась его перезапуском?

s45rus
Сообщения: 55
Зарегистрирован: 15 июл 2014 12:33
Reputation: 0

Re: После обновления SMG1016M до версии 3.8.0.2088

Сообщение s45rus » 19 дек 2018 18:41

Да. Так об этом выше же упоминалось. kill - 9 [PID процесса webspp]


Вернуться в «Оборудование VoIP»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 14 гостей