DGS-3612G
Boot PROM Version: Build 1.10-B09
Firmware Version: Build 1.00-B66
Hardware Version: 1A1G

С недавних пор в Switch History Log начали появляться строки: Possible spoofing attack from 00-1C-F0-21-1E-46 port 7
На 7-м порту подключено большенство абонентов локальной сети.
1.Возможно ли решение проблемы на уровне данной прошивки (понимаю, что пора обновить, но все же)?
2.Если нет, то после применения новой прошивки как именно исправить проблему?
3.Как обнаружить хост с которого идет spoofing атака? Слышал про два варианта:
- сделать Port Mirroring 7-го порта (в моем случае) и анализировать через arpwatch;
- сделать Port Mirroring и анализировать пакетом Ethereal.

Спасибо за ответы!

http://www.dlink.ru/ru/faq/62/252.html

см.п.1

Найти абонента по мак-адресу и набить морду, в дальшейшем на пачку этих абонентов поставить что-то типа DES-3028 и поработать с IP-MAC Binding

Дело в том, что в ARP Table данный mac 00-1C-F0-21-1E-46 является IP-ком моей же железяки DGS-3612G.
Как найти хост злоумышлиника?

Данный способ решения основан на том что я знаю IP и Mac атакующего хоста, увы я пока не могу определить.

Значит у вас на этом порту петля.

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

У меня такое раньше тоже случалось.
Найти злоумышленника так и не удалось, несмотря на то, что все порты прикручены к кактусу.
Не помогло определение петель....Мак тоже был маком самого 36хх.

В жизни не мешало. После чего прошло - не заметил
Прошивка сейчас Build 2.40.B75

Нужно обновить прошивку.

_________________
С уважением,
Бигаров Руслан.

Можно ли мне обновить до прошивки Firmware: 2.20-B35?
Я заметил в DGS-3600 series Firmware Release Note следующее предложение: "Please use this 2.20-B35 for demo purpose only !"

Запросите, пожалуйста, прошивку по адресу: http://forum.dlink.ru/viewtopic.php?t=92700
Там Вам вышлют более актуальную, чем та, что Вы указали.

Огромное спасибо за ответы!
Прошивку получил, попробую обновить, о результате отпишусь, потому тему пока не закрываю!

Обновил DGS-3612G до:

Boot PROM Version: Build 1.10-B09
Firmware Version: Build 2.52.B44
Hardware Version: 1A1G

Строки в Switch History Log все так же появляются: Possible spoofing attack from (IP 172.18.0.254 MAC 00-1C-F0-21-1E-46 port 7)

Есть варианты, что это такое и как это исправить?! Спасибо за ответ.

Ещё раз уточните что это в реальности за MAC и IP-адрес.

В реальности данный IP-адрес это созданный интерфейс на DES-3612G и МАС, как видно из Browse ARP Table, относится к этому IP.

Ну значит какой-то умник действительно ставит себе ип и мак свича

Либо петля в этом сегменте. Попробуйте на доступе включить LBD.

Увы, после включения LBD в логах так ничего и не обнаружил! Петли я так понимаю - нет. После прошивки строки Possible spoofing attack from (IP 172.18.0.254 MAC 00-1C-F0-21-1E-46 port 7) появиляются намного резже. Есть еще какие нибудь идеи? Спасиба.