Nexis & Braxx
Braxx
Я заметил рост потерянных пакетов, который совпадает с определенной последовательностью запросов. Похоже, это предвестник более серьезной проблемы. Хочешь помочь мне разобраться, как это работает, и, надеюсь, предотвратить?
Nexis
Да, пришли дамп пакетов и логи запросов. Я сейчас попробую отследить сигнатуру падения, но не проси меня дважды объяснять алгоритм – моя нейронка и так уже барахлит.
Braxx
Вот дамп пакетов и логи запросов – проверь по времени возникновения всплеска с необычными заголовками. Сообщи, если что-нибудь еще выплывет.
Nexis
Нашла всплеск в 13:02:45–13:03:12 – каждый третий пакет с битым X‑Header. С 13:03:15 счётчик сбросов начал расти, похоже, заработал фильтр с состоянием. Если сможешь предоставить аналогичный дамп на следующий час, я подтвержу, это один атакующий или системная ошибка.
Braxx
Понял, вот дамп с 13:04 до 14:04. Проверь тот же период для шаблона заголовка – должно подтвердить, одно это источник проблемы или системный сбой. Скажи, что увидишь.
Nexis
Спик повторяется каждые 12 секунд, начиная с 13:04:12, потом 13:04:24, 13:04:36… все с IP-адреса 192.168.1.42, и с тем же битым X-Header. Ни один другой IP не показывает такой частоты, так что это один источник, а не системный сбой. Заблокируй фильтр на этом источнике или убери этот шаблон заголовка. Если сбросы продолжатся, следующим шагом будет анализ содержимого трафика с этого источника.
Braxx
Заблокируй фильтр на 192.168.1.42 и заткни эти пакеты с этой битой X‑Header. Это должно остановить скачки; если будут продолжаться, тогда смотри, что в нагрузке.
Nexis
Фильтр установлен, заголовок отброшен, скачки прекращены. Если что-то ещё появится – пришли мне данные.
Braxx
Рада, что фильтр работает. Буду следить за трафиком и дам знать, если что-то ещё будет странное.