Здравствуйте, на DES-3828 в логах последнее время вижу много подобных записей:


где xx-xx-xx-xx-xx-xx - это мак интерфейса самого свича. Я понимаю, что вероятно эти записи означают, что кто-то из клиентов пытается взять себе занятый ип, но не понимаю зачем свич указывает свой мак, а не мак второй стороны. Хотя помню когда то видел, указывался именно мак клиента.

Как в подобной ситуации может помочь эта умная железка и почему она так себя ведёт?


P.S. Firmware Version Build 3.00.B57

а что юзер уже и мак сменить не может?

Наши точно не могут. Тем более в сети рядом стоят ipguard на фре и arpwatch.

_________________
С уважением,
Бигаров Руслан.

То есть уверены что железка показывает всё-таки не свой мак, а мак злоумышленника, который либо сам, либо вирусяка, установили такой же как на шлюзе?

Топик прочитал. Вариант противодействия был озвучен такой:


С ACL Packet content Filtering общаться не умею. Однажды попытался заблокировать на коммутаторе всего лишь 1 ип, а железка полностью исчезла из сети и форвардить пакеты перестала до самого ребута. Больше не лез к ACL.

Есть примеры фильтрации ARP ответов на ACL? буду благодарен.

P.S. В том топике сказано про флип-флопы на arpwatch. У нас же всё тихо... Да и проблем доступа у других абонентов не замечено. Никаких жалоб.

петлю ищите. у нас такое было на 3612. Пока не встала железка с loopdetect - постоянно конфликт коммутатора с самим собой наблюдали.

Тупые свичи меняйте/ребутьте, которые к 3828 подключены, они петлю дают, порт вы знаете

Включил STP с loopback detection - никаких изменений. В логах ничего опасного не вижу, порты не блокируются. Выходит, что не петля.

У меня на всех интерфейсах свича один и тот же мак. В соседних топиках прочитал, что такого быть не может.
Возможна ли из-за этого проблема?

В логах этот месседж сыпется не постоянно, но периодически... бывает по несколько часов тихо, потом начинается...

А спуфинг в логи всё-равно попадает?


Может, если у вас 1 и тот-же VLAN на всех портах и 1 ipif


Чтобы его смоделировать - просканируйте подсеть, которая подключена к этому свичу.

Да:




У меня используется 1 VLAN, но интерфейсов 7.


Не совсем понял мысль. Что смоделировать и какое сканирование имеется ввиду?

А это что такое? не петля-ли?


1 Primary остальные Secondary? - если так - то всё нормально, так и должно быть. Все Secondary ipif будут иметь MAC адрес Primary[/quote]


Скан подсети на наличие хостов, отвеающих по ICMP. Пакеты через тупые свичи в любом случае будут проходить, на одном из них что-нибудь да всплывёт.

Или как вариант кто-то меняет IP-адрес на адрес интерфейса устройства.

Отпишусь с небольшой задержкой. Оказалось, что подобные "петли" создавали несколько тупых 1008D.
После обновления на новую прошивку LoopBack Detection на DES-3828 очень хорошо помог их найти.
Все свичи, создающие эти псевдо-петли, имели как минимум один выбитый после грозы порт. Кто сможет объяснить эти процессы?
Ибо не понимаю логику появления этих петель и не представляю как такой трафик находить без Loopback detection. Это возможно?

выходит что такие "битые" свичи могут на раз-два положить весь сегмент подобным флудом даже если не использовать битые порты?

А есть ли возможность на 36 серии писать в логи еще и vlan при такой проблеме? Сильно упростило бы жизнь...


Вот так например:


Ну или loopback detect per vlan надо...
А то на свиче терминируется куча вланов, пойди найди в каком из них петля.

и я внесу свою лепту.
DES 3526 пишет:
Aug 29 15:26:31 10.0.4.152 10.0.4.152 CRIT: Possible spoofing attack from 00-1D-09-AC-91-2D port 1

порт 1 выключен, мак 00-1D-09-AC-91-2D в сети не найден.