faq обучение настройка
Текущее время: Вт сен 17, 2019 22:52

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
СообщениеДобавлено: Вт апр 09, 2019 13:26 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 116
Откуда: UA
День добрый, коллеги.
Начали покупать DGS-3000-10L - и вот столкнулись с проблемой.
Есть схема включения цепочки:
Ядро <- DES-3200-10-C1 <- DGS-3000-10L <- DES-3200-18-A1 ........<- DES-3200-18-A1
Вложение:
Untitled Diagram(1).png
Untitled Diagram(1).png [ 10.27 KiB | Просмотров: 385 ]

Прошивки:
DES-3200-10-C1
Boot PROM Version : Build 4.00.002
Firmware Version : Build 4.48.B007
Hardware Version : C1

# DoS

config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmasscan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disab le
config dos_prevention dos_type ping_death_attack action drop state enable
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable
config dos_prevention trap disable
config dos_prevention log enable
------------------------------

DGS-3000-10L
Boot PROM Version : Build 4.00.001
Firmware Version : Build 4.02.B009
Hardware Version : B1
# DoS

config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmasscan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable
config dos_prevention dos_type ping_death_attack action drop state disable
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable
config dos_prevention trap disable
config dos_prevention log enable


Так вот DGS-3000-10L с ключеным dos_prevention dos_type blat_attack action drop state enable - блокирует все проподящие мимо syslog сообщения. А так же синхронизацию времени.
Вот
Вложение:
2019-04-09_124802.png
2019-04-09_124802.png [ 19.13 KiB | Просмотров: 385 ]

Как кто-то когдато писал: viewtopic.php?f=2&t=160839#p868689
Blat attack. Разновидность DOS атаки в котором порт источника равен порту назначения.
тогда все логично почему срабатывает блокировка.
Но тогда почему показатель Frame Counts - всегда нуль, а в логах сообщения есть. Кстати сам DGS-3000-10L удачно логи сбрасывает.
Выше, перед , DGS-3000-10L стоит DES-3200-10-C1, на нем также включено blat_attack action drop state enable, у меня по всей сети это влючено.
И ничего не блокируется, это пока первый DGS-3000-10L выставленный в сеть с настройками аналогичными DES-3200 - делаем вывод что в DES-3200-A1,B1,C1 - эта функция не работает, или работает выборочно ? Или это баг в DGS-3000-10L

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 09, 2019 16:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8973
Над исправлением работы DoS Prevention уже идет работа, спасибо.
Однако на стенде я не могу подтвердить проблему с синхронизацией времени - ntp пакеты успешно пропускаются коммутатором.
Вы не могли бы прислать дамп обмена ntp трафиком в вашей топологии, который блокируется коммутатором DGS-3000?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср апр 10, 2019 11:20 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 116
Откуда: UA
На счет NTP
Я просто когда выяснял почему syslog не приходит с 192.168.80.137(что на схеме), я и прошивку обновил, и перезагрузил и заметил что после перезагрузки время не синхронизируется.
А когда отключил dos_prevention dos_type blat_attack на DGS-3000-10L -то на 192.168.80.137 время синхронизировалось.
На ваш запрос - отдельно проверил NTP.
Выставил синхронизацию каждые 30 сек. на 192.168.80.137
Код:
Command: show sntp

Current Time Source   : Primary SNTP Server
SNTP                  : Enabled
SNTP Primary Server   : 192.168.80.3
SNTP Secondary Server : 0.0.0.0
SNTP Poll Interval    : 30 sec

Запустил tcpdump на сервере и вижу запросы каждые 30 сек.
Код:
11:10:21.568765 IP 192.168.80.137.123 > 192.168.80.3.123: NTPv1, Client, length 48
11:10:21.568818 IP 192.168.80.3.123 > 192.168.80.137.123: NTPv1, Server, length 48
11:10:51.579041 IP 192.168.80.137.123 > 192.168.80.3.123: NTPv1, Client, length 48
11:10:51.579110 IP 192.168.80.3.123 > 192.168.80.137.123: NTPv1, Server, length 48
11:11:21.579399 IP 192.168.80.137.123 > 192.168.80.3.123: NTPv1, Client, length 48
11:11:21.579468 IP 192.168.80.3.123 > 192.168.80.137.123: NTPv1, Server, length 48


Потом включил dos_prevention dos_type blat_attack на DGS-3000-10L - и запросов на сервер больше нет, а в лог DGS-3000-10L есть следующие:

Код:
2019-04-10 - 11:02:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)
2019-04-10 - 11:01:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)
2019-04-10 - 11:00:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)
2019-04-10 - 10:59:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)
2019-04-10 - 10:58:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)

Страно почему интервал в логах 60 секунд, тогда как запросы идут каждые 30 сек.
Отключил dos_prevention dos_type blat_attack на DGS-3000-10L - сразу запросы на сервере появились ( 192.168.80.137.123 > 192.168.80.3.123)

На счет дампа, картинкой пойдет это на сервере 192.168.80.3 -так пойдет
Вложение:
2019-04-10_111719.png
2019-04-10_111719.png [ 39.22 KiB | Просмотров: 346 ]

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт апр 11, 2019 16:37 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8973
Картинкой не пойдет - необходим pcap файл.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 12, 2019 17:44 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 116
Откуда: UA
Вложение:
ntp-des-3200-18.zip [632 байт]
Скачиваний: 10

PS:
Ответить
Расширение pcapng запрещено администратором.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: igorptz, SergeySL и гости: 7


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB