faq обучение настройка
Текущее время: Чт мар 28, 2024 14:34

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: DGS 1210-10P IPv6 Neighbor Solicitation Message DDOS
СообщениеДобавлено: Вт окт 19, 2021 23:33 
Не в сети

Зарегистрирован: Вт окт 09, 2007 13:02
Сообщений: 67
Здравствуйте!

С неделю назад, в день памятного шатдауна Фейсбука, на сети появилась проблема:
С коммутаторов DGS-1210-10P стало сыпаться большое количество ~200pps IPv6 Neighbor Solicitation Message. В итоге control plane коммутаторов отваливается. Клиентский трафик через них ходит, проблем тут нет, но сами коммутаторы то доступны, то нет. Такое происходит в основном только с данной моделью коммутаторов. Ещё замечено немного DGS-1100-07/ME, которые стали отваливаться. С остальными DES3526, 3200-28 и т.д. никаких проблем нет. Клиентский трафик через все коммутаторы, даже проблемные, ходит нормально. Шатает только vlan управления на проблемных свитчах.
Проблема появилась одновременно, в 22:30 на 15, установленных в разных сегментах сети, коммутаторах. Больше никаких симптомов не нашли. Прошивку на последнюю обновляли. IPv6 на всех этих коммутаторах отключили. Результата ноль - сёр пакетов продолжается.
Ещё заметили - если просто включиться в коммутатор компьютером - никакой проблемы нет. Но стоит включить коммутатор патчкордом в сеть управления к другим коммутаторам - сразу начинается сёр на всех портах.
Что это может быть, кто сталкивался?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS 1210-10P IPv6 Neighbor Solicitation Message DDOS
СообщениеДобавлено: Чт окт 21, 2021 13:57 
Не в сети

Зарегистрирован: Вт окт 09, 2007 13:02
Сообщений: 67
воспроизводим проблему так:

- подключаем компьютер к тестируемому коммутатору, у которого сброшены настройки(прошивка последняя), в любой ethernet-порт
- запускаем tcpdump
- наблюдаем отсутствие ipv6-пакетов
- подключаем в другой ethernet-порт данного коммутатора кабель, подключенный в сеть, где наблюдается спам ipv6 neighbor solicitation пакетов
- в tcpdump начинается спам ipv6 neighbor solicitation от тестируемого коммутатора
- отключает кабель с сетью спамящих коммутаторов от тестируемого коммутатора
- в tcpdump спам прекращается


В итоге - на коммутаторах агрегации заблокировал IPv6 ICMP и спам ipv6 neighbor solicitation пакетов прекратился. Даже тестовый коммутатор перестал их слать. То есть когда они друг от друга изолированы по IPv6 ICMP - они и сами перестают спам слать

Мне кажется налицо какая-то проблема с данной моделью коммутаторов. Как в количестве отсылаемых пакетов ,так и в ситуации что они вообще шлют IPv6 neighbor solicitation в ситуации, когда на коммутаторе вообще отключён IPv6

Хотелось бы услышать комментарии сотрудников D-Link. Ибо костыль с блокировкой это всё же костыль


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS 1210-10P IPv6 Neighbor Solicitation Message DDOS
СообщениеДобавлено: Чт окт 21, 2021 23:52 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
wariored писал(а):
воспроизводим проблему так:
- запускаем tcpdump


Если не сложно, и нет там секретных данных, может приложить файл с дампом трафика, что ловит tcpdump

И можете глянуть на загрузку cpu других коммутаторов, какие получают такой трафик.
show utilization cpu
Насколько вырастает загрузка CPU ?

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS 1210-10P IPv6 Neighbor Solicitation Message DDOS
СообщениеДобавлено: Пт окт 22, 2021 16:46 
Не в сети

Зарегистрирован: Вт окт 09, 2007 13:02
Сообщений: 67
Код:
08:27:13.794621 e0:1c:fc:d9:3b:20 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.794826 34:0a:33:08:04:60 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.795062 e0:1c:fc:d9:3f:e0 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.795173 bc:0f:9a:3d:b5:d0 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.795326 60:63:4c:85:54:00 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.795407 bc:0f:9a:3d:b6:d0 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.795801 bc:0f:9a:3d:b2:70 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.796095 c4:e9:0a:97:8d:10 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.796233 bc:0f:9a:3d:b6:50 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.796357 a0:a3:f0:be:cb:40 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 7, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32
08:27:13.796381 bc:0f:9a:3d:b5:90 > 33:33:ff:0c:e1:4c, ethertype 802.1Q (0x8100), length 90: vlan 1, p 0, ethertype IPv6, :: > ff02::1:ff0c:e14c: ICMP6, neighbor solicitation, who has fe80::1470:71a3:110c:e14c, length 32


По нагрузке точно не скажу. На нормальных (3200-28, DGS-3630-28SC, 3130) повышения нагрузки не замечено. На тех, кому было плохо - в силу плохости и посмотреть было нельзя.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS 1210-10P IPv6 Neighbor Solicitation Message DDOS
СообщениеДобавлено: Ср окт 27, 2021 18:07 
Не в сети

Зарегистрирован: Вт окт 09, 2007 13:02
Сообщений: 67
Уважаемые сотрудники D-Link - прокомментируйте пожалуйста ситуацию?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS 1210-10P IPv6 Neighbor Solicitation Message DDOS
СообщениеДобавлено: Ср ноя 10, 2021 11:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт июн 20, 2017 17:29
Сообщений: 368
По данной проблеме было выпущено ПО с исправлением.
Прошивку можно скачать по ссылке - https://cloud.dlink.ru/owcl/index.php/s/rXyGdjk8HWFEGsR
Спасибо.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB