Здравствуйте.
В сети имеется небольшой сегмент 192.168.210.0/24 служащий как магистральная подсеть и как подсеть для подключения абонентов. В последнее время стали периодически отваливаться Router #2, Switch #3 и Server. Путем последовательного отключения портов на коммутаторе Switch #2 выяснили, что предполагаемый "мусор" валится с порта #8.
На этом порту висит коммутатор к которому подключены абоненты. Делаем вывод, что это либо злоумышленник, либо глюки коммутаторов.
Запускаем сниффер на Server и настраиваем Port mirroring с восьмого порта на десятый.
В моменты, когда все начинает отваливаться, замечаем, что на восьмой порт начинают идти пакеты совсем этому порту не предназначенные, как будто коммутатор превратился в хаб и начал рассылать по всем портам все подряд. Например, начинаю я пинговать маршрутизатор 192.168.210.254 а ответов от него нет. Зато в сниффере четко вижу что ICMP echo request ушел почемуто в восьмой порт а не туда куда надо. И так со всеми остальными узлами в подсети. Да плюс ко всему на восьмой же порт уходят пакеты из 208-й и 207-й подсетей.
От самих абонентов с коммутатора #3 в эти моменты вижу только ARP-request'ы. И не так уж их много. Не похоже на флуд.
Вопрос: это все-таки злоумышленник, подключенный к коммутатору #3, или оборудование тупит? Помогите пожалуйста разобраться.
Вход
Регистрация
FAQ
Поиск
