Warning: Host-bound traffic for protocol/exception DHCPv4:bad-packets exceeded its allowed bandwidth

Написано авторомVyacheslav Оставьте комментарий к Warning: Host-bound traffic for protocol/exception DHCPv4:bad-packets exceeded its allowed bandwidth

Однажды заметил в логах Juniper MX204 следующие предупреждения:

show log jddosd | last 100

DDOS_PROTOCOL_VIOLATION_SET: Warning: Host-bound traffic for protocol/exception  DHCPv4:bad-packets exceeded its allowed bandwidth at fpc 0 for 435 times, started at 2023-02-16 07:29:39 EET

DDOS_PROTOCOL_VIOLATION_CLEAR: INFO: Host-bound traffic for protocol/exception DHCPv4:bad-packets has returned to normal. Its allowed bandwith was exceeded at fpc 0 for 435 times, from 2023-02-16 07:29:39 EET to 2023-02-16 07:31:08 EET

По умолчанию пакеты с длиной параметра DHCP который не равен 1 отбрасываются, так как считаются не верными, смотрите RFC пункт 9.6 https://www.rfc-editor.org/rfc/rfc2132#section-9.6

Посмотрим текущие нарушения и настройки DHCPv4:bad-packets:

show ddos-protection protocols violations
show ddos-protection protocols dhcpv4 bad-packets

  Packet type: bad-packets (DHCPv4 traffic with bad format)
    Individual policer configuration:
      Bandwidth:        0 pps
      Burst:            0 packets
      Priority:         Low
      Recover time:     300 seconds
      Enabled:          Yes

Как видим «Bandwidth» для таких пакетов равна 0 pps и это правильно, то что плохие пакеты отбрасываются не влияет на работу DHCP.

Если нарушение еще активно, то осмотрим с какого интерфейса:

show ddos-protection protocols culprit-flows

Чтобы посмотреть MAC адреса пользователей которые отправляют плохие DHCP пакеты в длиной которая не равна 1, можно очистить текущие нарушения и посмотреть DCHP трафик:

clear ddos-protection protocols dhcpv4 bad-packets states
monitor traffic interface et-0/0/2 no-resolve size 1500 detail matching "port 67 or 68"

Чтобы не видеть предупреждения о плохих пакетах DHCP я просто отключил их логирование:

set system ddos-protection protocols dhcpv4 bad-packets disable-logging
commit comment "dhcpv4 bad-packets disable-logging"

В крайнем случае при необходимости можно разрешить пропускать плохие DCHP пакеты (но лучше решить проблему с устройствами пользователей, например обновить прошивку маршрутизатора у пользователя):

set system ddos-protection protocols dhcpv4 bad-packets bandwidth 1000
set system ddos-protection protocols dhcpv4 bad-packets burst 1000

Смотрите другие мои статьи про Juniper

Оставьте комментарий

Добавить комментарий