Льётся странный трафик

https://wiki.it-kb.ru/unix-linux/debian/how-to-turn-off-ipv6-in-debian-linux

выключение ipv6 я попробовал сразу, не помогает. в ip a адресов ipv6 нет, а трафик продолжает литься: Screenshot-2023-12-08-165721.png

Напиши в поддержку провайдеру. Укажи ему MAC-адрес отправителя, скажи что он тебя атакует ipv6-флудом.

А с какой скоростью оно у тебя валится?

который сожрал все лимиты.

С каких пор локальный служебный трафик начали считать? Беги от этого хостера.!

Чисто теоретически, можно попробовать сказать «ip li set dev ethX multicast off» пари условии, что тебе mc не нужен.

PS

Как же достали с этим wireshark-ом! Он что, мёдом намазан?

Взять tcpdump и скопировать кусок текста из терминала существенно проще, чем постить картинку. Но нет, упорно постят картинку.

Там в комплекте wireshark есть tshark. Он умеет как tcpdump давать тесктовый результат!

Смотреть трафик в виде картинки такое же зло как голосовые сообщения в текстовом чате.

Кто-то (если этот IPv6-адрес не ваш) в локальной сети отсылает MLDv2 в мультикаст-группу. Ничего страшного, странного или необычного в этом нет.

Люто плюсую! Таких слов не нашел, вы расписали лучше!
2ТС Прислушайтесь к этим словам!

трафик этот валился со скоростью 8-9 мб/с. Сейчас, видимо, кто-то где-то что-то починил, флуд этот ушёл.

Вопрос по служебному трафику задам, спасибо за подсказку!

что касается картинок, то прошу пардону за неудобства, исправлюсь. я ненастоящий сварщик :)

Хостер говорит, что такой трафик считается, без вариантов. Предлагает переехать на proxmox, где лимитов нет. Соглашаться?

трафик этот валился со скоростью 8-9 мб/с.

Существенный трафик.

Сейчас, видимо, кто-то где-то что-то починил, флуд этот ушёл.

Гм. Т.е. ты ничего не делал, а трафик исчез?

Значит что-то у хостера случилось или хостер озаботился настройкой своего оборудования.

Было бы интересно посмотреть на МАС-адреса в этом трафике.

На твоей картинке они частично скрыты, но видно, что начало и конец адресов совпадает. Это очень странно если они полностью совпадают.

Если этот МАС-адрес совпадает с адресом на твоём интерфейсе, то я бы в таком случае считал, что это флуд организованный персонально для тебя и сделал это кто-то с соседних серверов.

Если МАС-адрес не совпадает с твоим, то это похоже на переполнение таблицы МАС-адресов на коммутаторе к которому ты подключен. Коммутатор в там случае превращается в концентратор и ты видишь чужой трафик на своём интерфейсе. Но это проблема хостера.

Получается, что в любом случае это нештатная ситуация на хостинге и общаться нужно с ТП хостинга.

На твоей картинке они частично скрыты, но видно, что начало и конец адресов совпадает

Долго разглядывал картинку, но не увидел такого.

Это я не туда смотрел :(

Ну тогда это стопудово какой-то косяк в сети хостера.

10Мбит/с это всего 3ТБ входящего трафика в месяц. Большинство провайдеров входящий трафик не тарифицируют и не ограничивают. Мало того, что эти тарифицируют с таким малым лимитом, так ещё из-за их косяка он ещё генерируется в сети без запроса клиента. Хостинг «у Васяна в гараже»? Если они тебе не доплачивают за пользование их в услугами, беги. Дальше будет только хуже.

Если этот МАС-адрес совпадает с адресом на твоём интерфейсе, то я бы в таком случае считал, что это флуд организованный персонально для тебя и сделал это кто-то с соседних серверов.

Там dest ip - это мультикаст группа для MLD.

Кто-то лил MLD, либо сосед по сети, либо маршрутизатор релеил из другой сети. В любом случае, это забота хостера (и да, странно такой трафик считать, но, может, хостер и ARP считает).

Это локальный, только непонятно с какого юха пров его начал считать?

Как же достали с этим wireshark-ом! Он что, мёдом намазан?

Видимо да, точнее ничего слаще морковки не кушали, в смысле больше ни про что не слышали.

...такое же зло как голосовые сообщения в текстовом чате.

Люто плюсую! Задрало по самое небалуйся, имхо оно какое-то заразное, один стал это пользовать и понеслась... Я понимаю и принимаю когда человек отправляет находясь за рулем или в другой «неудобной позе». Но постоянно... Имхо уже писал пример нормального человека, который присылая голосовое каждый раз извиняется на тему, что он сейчас за рулем, а потом может забыть. Вот это имхо нормально. Но когда по поводу и без...

Есть тут странное, с чего это выделенный сервер автора оказалася в локалке с какими-то левыми и доступен для их мультикастов.

но, может, хостер и ARP считает

Почему нет? Знал я одного домашнего прова который и входящий и исходящий суммировал при этом по тарифу только входящий должен был тарифицироваться.

Хостер говорит, что такой трафик считается, без вариантов. Предлагает переехать на proxmox, где лимитов нет. Соглашаться?

По ходу ТП хостера углядела свой косяк и таким некрасивым образом пытается съехать с темы возврата части средств.

шли своего хостера и ищи другого их сейчас развелось как грязи. сколько десятков лет пользуюсь впсом никогда это проблемой не было. да, там в их локалке че только льется, один раз даже зафлудили все бкастами. но ни разу мне за это никто счет не предъявил. Обычно дают гиговый реже 10гиговый порт и лимит в 30тб на месяц что соотвествует 24\7 100мбит, либо дают 100мбитный порт в безлим. однажды помню к нам пришел пользователь которых всех ДОСТАЛ своим служебным трафиком. якобы ему там больше по статке порта считается чем он потребляем. При том трафика у него за месяц 10гигов это по порту статка, по его мнению он скачал 0байт, лимит 30тб. два месяца этот шизик делал нам мозг. софта там себе понаставил подсчитывающего трафик кучу тикетов насоздавал. вот че человеку надо? по итогу, с его проблемой таки разобрался. Оказалось у него есть сосед по свичу, который «в целях зашифроватся» придумал себе какой то прокси сервер который крайне редко что то вообще шлет в сеть из-за чего свитч не знает в каком он порту и весь юникастовый трафик шлет во все порты, ну и там насчитывается лишку соотвествено.

Это link-local-трафик, его генерируют соседи по свитчу (или сам свитч/роутер).

Очень редко хостинг-площадки делают полную изоляцию портов, а-ля vlan, обычно просто блокируют DHCP, ARP-спуфинг, RA, какие-то другие типичные протоколы, средствами свитча, и подключают группу серверов в один общий L2-сегмент.

Ужас какой, это можно было понять ещё в 90-е - 2000-е когда может быть кому-то нормального железа было сложно достать и делали сеть бытовыми свитчами, но сейчас то зачем так делать?

И не обязательно там влан. Обычные интернетные протоколы (TCP/UDP, может быть GRE) фильтровать незачем. Про ARP понятно, запретить спуфинг. Всё остальное - только в виде коммуникации между железкой клиента и железкой хостера, в т.ч. все броадкасты можно сразу заворачивать на порт куда DHCP воткнут, если он там есть, т.к. больше им некуда идти, либо вообще блокировать если DHCP не предусмотрен.

Знал я одного домашнего прова который и входящий и исходящий суммировал при этом по тарифу только входящий должен был тарифицироваться.

В мире много дураков. Я написал, что может. Но не должен. Обычно считают трафик внешней связанности, такое поведение ожидается от хостера.

Обычно считают трафик внешней связанности, такое поведение ожидается от хостера.

Мало ли что «обычно» и что «ожидается»... ожидать-то можно хоть электричку на необитаемом острове...