Имеем 3610-26, прошивка обновленная:
System description : DGS-3610-26G Gigabit Ethernet Switch
System start time : 2011-09-08 8:42:33
System uptime : 4:2:29:14
System hardware version : A1.0
System software version : v10.3(5p1), Release(94612)
System BOOT version : 10.3.94612
System CTRL version : 10.3.94612
Device information:
Device-1
Hardware version : A1.0
Software version : v10.3(5p1), Release(94612)
BOOT version : 10.3.94612
CTRL version : 10.3.94612


В логах 3610-26 наблюдаются сообщения вида:

*Sep 10 03:35:43: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.
*Sep 10 04:45:56: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.
*Sep 10 13:07:36: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.
*Sep 10 15:28:06: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.
*Sep 10 15:48:10: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.
*Sep 11 02:20:22: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.
*Sep 11 05:40:52: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.
*Sep 11 06:20:55: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.
*Sep 11 07:51:11: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.

Для поиска "врага" был включен arp-guard:

sh arp-guard configuration
Rate limit: 4 pps per-src-ip, 4 pps per-src-mac, 100 pps per-port
Attack threshold:10 pps per-src-ip, 10 pps per-src-mac, 200 pps per-port
Scan threshold:15 packets per 10 seconds
Global isolate timeout:180 seconds
Local isolate timeout(second):
Gi0/2 permanent
Gi0/3 permanent
Gi0/4 permanent
Gi0/5 permanent
Gi0/6 permanent
Gi0/7 permanent
Gi0/8 permanent
Gi0/9 permanent
Gi0/10 permanent
Gi0/11 permanent
Gi0/12 permanent
Gi0/13 permanent
Gi0/14 permanent
Gi0/15 permanent
Gi0/16 permanent
Gi0/17 permanent
Gi0/18 permanent
Gi0/19 permanent
Gi0/20 permanent

Порт 1 - аплинковый, 21-24 подключены UPS и т.п. оборудование. к портам 2-20 подключены 3526, 3200-26,3200-28 к которым уже подключены абоненты.

Несмотря на включенный arp-guard, никаких иных записей в логах нет. Так же ничего не пишет сам guard:

sh arp-guard scan
VLAN interface MAC address timestamp
Total: 0 record(s)


sh arp-guard users
If column 1 shows '*', it means "hardware failed to isolate user".
VLAN interface IP address MAC address remain-time(seconds)
Total: 0 user

При этом наблюдается периодическое "подвисания" прохождения трафика на несколько секунд. По времени эти "подвисания" как раз совпадают с появлениями в логе записей %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected. А абоненты в это время видят "пропавший" интернет.

Как найти "врага" ? Как защититься от него ?

Спсибо

Добрый день!
Например вот так

Значения можете установить свои, в руководстве это описано.

Не совсем понятно:
1. почему в логах не указаны порт и мас-адреса атакующего ? в руководстве на стр.747 приводятся образцы логов
2. что даст увеличение порогов срабатывания ? мы же лечим болезнь, а не ее проявления.

вот конкретный свежий случай:

вижу в логе:

*Sep 12 12:56:19: %ARPGUARD-4-DOS_DETECTED: ARP DoS attack was detected.

ловлю гада:

sh arp-guard us
967 Gi0/17 - 001d.7237.8ae4 -
967 Gi0/17 46.52.234.167 - -

иду на 3526, который подключен на 17-м порту,

Command: show fdb port 4

VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
1 default 00-1D-72-37-8A-E4 4 Dynamic

Command: show address_binding dhcp_snoop binding_entry

IP Address MAC Address Lease Time (secs) Port Status
--------------- ----------------- ----------------- ---- --------
46.52.234.167 00-1D-72-37-8A-E4 82016 4 Active

т.е. МАС тот же самый.
почему возникла АРП-атака ? или 3610-26 посчитал атакой штатную ситуацию ?

наконец, почему на других коммутаторах 3610-26, где сидит не меньше абонентов, а больше, не появляется таких сообщений об атаке ?

т.е. хотелось бы понять :
1. атака есть или нет не самом деле ?
2. если есть, то как от нее защититься штатными средствами 3610-26, 3200-26 ?
3. если атаки нет и все проходит в штатном режиме, то почему появляются сообщения об атаке и реально наблюдаются проблемы с прохождением трафика ?

1)Что даст - не будет сообщений об атаке и поидее исчезнут лаги у клиентов. Конечно все это зависит во многом от организации вашей сети. Подберите оптимальные значения для себя.
2) Это не атака в общепринятом смысле, у самого это было когда например кто то сканил сетку спец прогами, или вирусы, или например вся сетка в дефолтном влане была и несколько тысяч маков на ней то 3610 сыпал подобными сообщениями. А так человек будет в бан попадать на 3 минуты и потом можете посмотреть какой мак в бан попал и разобраться на месте что с ним не так.
Это из собственного опыта.
P.S. Комп абонента возможно завирусован или скан сети он делает..

какой-то хост посылает много арп пакетов...
та ситуация которую описали вы "MAC совпадает" это пример arp-спуфинга, а не DOS атаки.

зайди на коммутатор 3526 где сидит "гад"
вводи sh pac p 4
и посмотри сколько broadcast пакетов от него идет в секунду
даже если 1 НО каждую секунду, это уже не нормально будет
+ нужно настраивать traffic control на коммутаторах доступа на порты абонентов
для 3526 - рекомендуется 10pps drop (multicast+broadcast)
для 3028 - рекомендуется 64kbit (а меньше и нельзя ) drop (multicast+broadcast)

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

в этом участке сети 200 абонентов. есть участке с кол-вом абонентов в 3 и 5 раз большими, правда, там уже циски живут. но есть и похожие участки с 3610-26 и кол-вом абонентов примерно равным и чуть большим. и все работает отлично. есть подозрение, что в этом участке живет "плохой" человек, вот и надо бы его найти и просто отключить, что бы убедиться - после отключение, все наладилось и стало работать хорошо.

верю в такую ситуацию. но очень хочу ее исправить. как это правильнее всего сделать ?

схема у нас такая - tarffic control включен именно на 3610-26. примерно так:

interface GigabitEthernet 0/17
switchport mode trunk
switchport trunk native vlan 967
storm-control broadcast level 2
medium-type fiber
arp-guard isolate timeout permanent
description Stroitelei, 23a corp1

а на доступе (3526,3200-хх) так:

config traffic control_trap none
сonfig traffic control 1-28 broadcast disable multicast disable unicast disable action drop threshold 512 countdown 0 time_interval 5

от сюда все беды.
очень рекомендую вам сделать на доступе так как я сказал

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

а можно в терминах конфига коммутатора рекомендацию ?
я так понимаю, что threshold 512 многовато или не правильно понимаю ? дело в том, что конфиги коммутаторов доступа - они совершенно одинаковые в этом плане по всему городу, а их более 2000 в сумме. и отличаются только IP адресами, да протянутыми через них VLAN-ами.

но я, конечно, готов поэкспериментировать на этом "больном" кластере, и если предложенная конфигурация трафик-контроля будет рабочей, то распространю по всем остальным кластерам сети.

DES-3200/3028:

config traffic control_trap both
config traffic control 1-24,27-28 broadcast enable multicast enable unicast enable action drop threshold 64 countdown 0 time_interval 5
config traffic control 25-26 broadcast disable multicast disable unicast disable action drop threshold 64 countdown 0 time_interval 5

1-24,27-28 - предпологаются что порты абонентов или нижестоящие коммутаторы.

3526:

config traffic control_trap both
config traffic control 1-3 broadcast enable multicast enable unicast disable action drop threshold 10
config traffic control 25-26 broadcast disable action shutdown threshold 128000 time_interval 5 countdown 0
config traffic control 25-26 multicast disable action shutdown threshold 128000
config traffic control 4-5 unicast disable threshold 128000

В данном случае (на 3526) в режиме drop можно конфигурить только группы портов
1 - 1-8порты
2 - 9-16порты
3 - 17-24порты
4 - 25порт
5 - 26порт

То-есть в данном случае 1-3 группы (1-24порты) предпологаются порты абонентов или нижестоящих коммутаторов.

п.с. 512 это очень много. и 64 тоже, но меньше нельзя.
Я помню подсчитывал в 64кбит помещается больше 100 arp пакетов (непомню уже точно).
Многовато не правда ли?

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

продолжая поиска решений, наткнулся на такой замечательный лог:

на 17 порту 3610-26 подключен 3200-26.

структура веревки такая:
17 порт 3610-26
|
|
25 port 3200-28 10.22.111.34


на нем в логах:

964 2011-09-14 08:04:03 Port 3 link down
963 2011-09-14 08:01:34 Port 3 link up, 100Mbps FULL duplex
962 2011-09-14 08:01:09 Port 3 link down
961 2011-09-14 07:59:51 Port 3 link up, 100Mbps FULL duplex
960 2011-09-14 07:59:47 Port 3 link down
959 2011-09-14 07:56:47 Port 3 link up, 100Mbps FULL duplex
958 2011-09-14 07:56:15 Port 3 link down
957 2011-09-14 07:54:46 Port 3 link up, 100Mbps FULL duplex
956 2011-09-14 07:54:29 Port 3 link down
955 2011-09-14 07:51:41 Port 3 link up, 100Mbps FULL duplex
954 2011-09-14 07:51:28 Port 3 link down
953 2011-09-14 07:48:46 Port 3 link up, 100Mbps FULL duplex
952 2011-09-14 07:48:43 Port 3 link down
951 2011-09-14 07:47:14 Port 3 link up, 100Mbps FULL duplex
950 2011-09-14 06:33:19 Port 14 link up, 100Mbps FULL duplex
949 2011-09-14 06:33:15 Port 14 link down
948 2011-09-14 06:33:08 Port 14 link up, 100Mbps FULL duplex
947 2011-09-14 05:23:04 Port 14 link down
946 2011-09-14 05:15:52 Port 14 link up, 100Mbps FULL duplex
945 2011-09-14 05:15:48 Port 14 link down
944 2011-09-14 05:15:41 Port 14 link up, 100Mbps FULL duplex
943 2011-09-14 00:42:34 Port 14 link down

937 2011-09-13 21:30:51 Port 9 link up, 100Mbps FULL duplex
936 2011-09-13 21:30:48 Port 9 link down
935 2011-09-13 21:30:25 Port 9 link up, 100Mbps FULL duplex
934 2011-09-13 21:29:59 Port 9 link down
933 2011-09-13 21:27:55 Port 9 link up, 100Mbps FULL duplex
932 2011-09-13 21:27:52 Port 9 link down

т.е. на 3-х портах, у абонентов постоянно "моргает" линк. видимо, при таком моргании появляются сообщения об ARP атаках.
ошибок на портах нет:


Command: show error ports 9


Port Number : 9
RX Frames TX Frames
--------- ---------
CRC Error 0 Excessive Deferral 0
Undersize 0 CRC Error 0
Oversize 0 Late Collision 0
Fragment 0 Excessive Collision 0
Jabber 0 Single Collision 0
Drop Pkts - Collision 0

в логах 3610-26 тоже нет ничего подозрительного. считать, что в трех портах сидят три "плохиша" - слишком параноидально.
откуда взялись эти моргающие порты и почему они моргают ? может у кого есть опыт наступания на такую граблю ?

спасибо

Приветствую сам сталкивался когда у абонента умирала сетевая карта, а с кабелем все впорядке было. Еще такое было когда использовались некорректные сетевые настройки на маршрутизаторе. Симптомы похожие были. Порты были рабочими во всех случаях. Использовали ноут для проверки. Вообщем прозвоните, проверьте абонентское оборудование, т.к. наверняка там проблемы с доступом.

Если прыгает линк, то 90% случаев это проблема с витой парой абонента.

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД