Есть сеть 10.0.0.0/16. Стоят несколько 3526 и 3026. На порту коммутатора может находиться не один клиент. Включена функция IPMB. С недавнего времени в снифере заметил с определенных адресов (допустим 10.0.0.5) перебор адресов(arp запросы).



Где Х и Y числа идущие по порядку, т.е. 10.0.2.1; 10.0.2.2, 10.0.2.3 и т. д.

Можно ли как то с этим бороться, как заблочить это дело? Или это опрос всей сети? Спасибо!

максимум можно ограничить кол-во бродкастов и все.

_________________
LiveComm

Я так понимаю имеет место быть обычный ARP Spoofing. В последних версиях прошивки DES-35XX мождно включить при настройке IMP на порту режим strict. Это поможет защититься от ARP Spoofing-а. На DES-3026 к сожалению это невозможно.

У одной программы для наблюдения за сетью есть похожый метод поиска новых хостов в сети, она постоянно делает такие запросы по арп с перебором айпи.

Не могли бы Вы выслать свежую прошивку и привести пример использования режима strict.

Я Вам прошивку выслал.

Вот пример:

config address_binding ip_mac ports 1-24 state enable allow_zeroip enable
forward_dhcppkt enable strict

Спасибо! Прошил... Добавлены новые функции.. Вы не подскажете по какому принципу работает strict? Кстати в вєб тоже есть єта функция, но при включении все равно происходит то, что написано в первом посте.

И есть ли описания новых функций? Для чего они? Спасибо!

будет релиз - будет и описание. нет релиза - нет описаний
пока догадываемся по смыслу и пользуемся.

_________________
LiveComm

Режим strict позволяет не пропускать в сеть каждый первый новый ARP пакет. Какие Вас ещё новые функции интересуют?

При чём тут арп-спуфинг?
Это простые арп запросы - надо же как-то резолвить IP в MAC.
А чтобы их было меньше - не нужно маски /16 делать в сетях.


Можно поподробнее - что значит "каждый первый новый ARP пакет"?

при том что в обычной работе сети никакого перебора быть не может. Связки определяются в момент обращения к определенному IP. А дальше для экономии числа запросов заносятся в arp таблицу, где живут определенное время. Если к хосту больше не обращаются, то связка чистится. Так что тут явно что-то нестандартное. Либо какой-то софт, который сканирует сеть, либо, как сказал Иван, какой-то спуфинг. Хотя я склонаюсь к первому варианту.


а что в этой фразе неподробного ? каждый первый новый ARP не пропускается в режиме loose он проспукается. следовательно возможен спуфинг в сети. в режиме strict это уже невозможно.

_________________
LiveComm

Это всё понятно, только тут не те пакеты приводятся для того, чтоб сказать - спуфинг или нет. Мало ли какие вирусы сеть сканируют - вот он и откликается на всё.


Всё неподробно.
Что значит "первый новый"? А второй новый пропускается? А первый старый? А вообще первые старые бывают?
Как я себе представлял режим стрикт - это когда отсекаются все ARP-Reply с маками отличными от того, который указан в привязке.
В данной же теме речь идёт об ARP-запросах, которые, скорее всего, следствие, а не причина, и серьёзно нанести вред сети (кроме замусоривания) не могут.

В том то и дело что сеть ложиться.... (( При проверке на нескольких машинах у пользователей, обнаружилось что это вирусы. А на одном из серверов началось вот это "Neighbour table overflow", в сзязи с этим сервер начал подолгу думать при обращении к нему. Режим strict ничего не дал(включал в вэб). При вводе в консоли



и дальше если вводить strict, пишет "Next possible copmpletion {}"

в любом случае это не есть правильно


блин, вы вообще представляете что это за функция и зачем она нужна ? она сама по себе подразумевает, что пакеты должны не проспускаться при несоответствии связки.
в режиме loose первый ARP пакет всегда пропускается. в режиме strict - всегда не пропускается.


могут однозначно.

_________________
LiveComm

Допустим во это "IP-MAC Binding Permit IP Pool" и "ARP Spoofing Prevention"