Непонятные пакеты.

[HEDG_SS]

Появились лаги сети, начал выяснять причины. Установил snort по пособию

Схема сети:
абоненты -> роутер для шейпинга (на ipfw) -> NAT на pf -> BGP роутер
Все роутеры на FreeBSD 7.0

Обнаружилась непонятная активность...

Тригерная структура - [snort] (spp_frag3) Short fragment, possible DoS attempt

Пакеты
Адрес источника Адрес назначения Ver Hdr Len TOS length ID fragment offset TTL chksum
x.x.x.x 172.17.135.6 4 20 0 56 34392 yes 0 127 39433 =0x9a09


Данные по ICMP
type code checksum ID seq #
() Echo Reply ()
=
0x0

В данном случае x.x.x.x - ip адрес внутреннего интерфейса сервака с NAT
Т.е. получается, что наш сервак отвечает фрагментированными icmp запросами...
Хостов на которые идут ответы не слишком много, но ответы достаточно частые (до 30% всего трафика заброкованного snort)

Что может заставлять сервер генерировать такие ответные пакеты ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[GRooVE]

например железо

[HEDG_SS]

Маловероятно, т.к. стоят на серверах cетевые Intel 1000MT (1G)
Трафик генерируется только icmp и на ограниченное количество адресов (26 из 2000+).
Поставить другую сетевую , к сожалению пока возможности нет (разве что через пару дней)