faq обучение настройка
Текущее время: Пт июл 11, 2025 00:40

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: DES-3828 broadcast storm
СообщениеДобавлено: Ср дек 26, 2007 14:11 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Устроили нам обидившейся бывший админ "udp наводнение" в сети. После включения опции в Traffic control все нормально заработало. Но возникает вопрос: как расчитать/определить оптимальное значение Threshold (pps) для своей сети. Я поставил 64000 и шторм был заблокирован, но всё же хочется узнать систему определения этого значения. Или только с помощью метода проб и ошибок?
Кроме того, во время шторма в логах коммутатора появилась надпись вида:
Код:
Possible spoofing attack from xx-xx-xx-xx-xx-xx port 3

где хх-хх-хх-хх-хх-хх это МАС-адрес самого коммутатора. Что это означает? Broadcast storm был с компа подключенного на 3 порт.
И вообще можно как-то определить своевременно этот компьютер - с которого ведется атака?

ЗЫ:Прошивка последняя

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3828 broadcast storm
СообщениеДобавлено: Ср дек 26, 2007 15:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Посмотрите значение при нормальной работе сети, прибавьте и получите искомое, в целом, Вы правы - это число индивидуально для каждой сети и подбирается.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3828 broadcast storm
СообщениеДобавлено: Ср дек 26, 2007 15:42 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Bigarov Ruslan писал(а):
Посмотрите значение при нормальной работе сети

А где и с помощью чего это просмотреть?

ЗЫ: Мог ли broadcast storm быть вызван подвисшим/испорченным неуправляемым коммутатором 1-го уровня?

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3828 broadcast storm
СообщениеДобавлено: Ср дек 26, 2007 16:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Например, при помощи команды "show packet ports <portlist>".

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3828 broadcast storm
СообщениеДобавлено: Чт дек 27, 2007 16:21 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Bigarov Ruslan писал(а):
Например, при помощи команды "show packet ports <portlist>".

Спасибо. С pps стало более понятно. Но всё же вы не могли бы объяснить запись в логе которую я упомянул в первом посте. И кроме того, ещё в логах появляются не совсем мне понятные записи вида
Код:
Dec 27 15:52:34 192.168.111.10 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 0.0.0.0, MAC: xx-xx-xx-xx-xx-xx, port: 1)

где xx-xx-xx-xx-xx-xx - MAC-адрес
С МАС-адрессом понятно, а вот как понять IP: 0.0.0.0?
Могут ли это быть какие-то происки злоумышленников?

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 27, 2007 22:12 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Могут быть. Но скорее всего это означает что у клиента выставлено получение адреса по DHCP. У Вас такая схема используется?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3828 broadcast storm
СообщениеДобавлено: Сб дек 29, 2007 13:17 
Не в сети

Зарегистрирован: Ср дек 26, 2007 17:50
Сообщений: 7
DarkPagan писал(а):
Код:
Possible spoofing attack from xx-xx-xx-xx-xx-xx port 3

где хх-хх-хх-хх-хх-хх это МАС-адрес самого коммутатора. Что это означает? Broadcast storm был с компа подключенного на 3 порт.
И вообще можно как-то определить своевременно этот компьютер - с которого ведется атака?

ЗЫ:Прошивка последняя


Фактически, свитч увидел свой мак на уходящем порту. Скорее всего, не включена функция loopdetect и имело место быть физическое кольцо.

Если хотите смоделировать на стенде - пишите pm, кратко объясню, как можно положить сеть с большим количеством неуправляемого оборудования за одну минуту =)


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 64


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB