Может ли DES-3028 каким-нибудь образом противостоять данной атаке?
В сети появился вирус, который занимается тем, что отправляет несанкционированные arp-ответы. Притворяется всеми хостами в сети одновременно, включая шлюз. Сеть не работает.
Сообщения подобного вида:
arp reply 192.168.0.1 is-at 00:1e:f6:25:ba:48
arp reply 192.168.0.2 is-at 00:1e:f6:25:ba:48
arp reply 192.168.0.3 is-at 00:1e:f6:25:ba:48
arp reply 192.168.0.4 is-at 00:1e:f6:25:ba:48
...
и т.д. до последнего хоста в сети.
Спасибо за помощь!

шлюз обезопасить можно легко с помощью acl, а как быть с остальными ответами если нет IMB...

А что такое IMB?
То есть на 3028 данную атаку не заблокировать? Вирусов инициирующих такой трафик все больше и больше.

IMB - IP/MAC Binding.
на 3526 через ACL запрещал ARP ответы с IP шлюза.
на 3028 вроде ACL послабее пока =\

IMP это IP-MAC-Port Binding. Он в DES-3028 есть только в режиме ARP и DHCP Snooping. Но режим ACL можно сделать вручную ACL типа Packet Content filtering. По поводу того что он послабее чем в DES-35XX это довольно спорный вопрос.

Так как DHCP Snooping работает "не очень" при большом количестве клиентов, то в данном случае его не применить. К тому же вряд ли он спасет от данной атаки, данная функция не заблокирует ведь лживые arp-ответы, которые гуляют по сети.
Другой возможности нет?

самостоятельно - не может, но что стоит написать ACL как в FAQ ну или использовать что нить в духе этого:


серьезно? вот уж не думал ... а как же тогда у меня и сотен других людей работает то?

_________________
с уважением, БП

ACL это конечно хорошо, но в данном случае по-моему они бесполезны, потому что коммутатор должен помнить на каком порту "светиться" данный мак и если arp-ответ якобы от него пришел с другого порта - блокировать его. Но тогда как коммутатор будет переучиваться? - тоже вопрос интересный.

Было бы замечательно, если бы была функция, блокирующая весь трафик или вырубающая порт в случае, если с одного мак-адреса сыпятся сыпятся "преступные" арп-ответы. Ориентироваться можно на количество арп-ответов в секунду с одного мак-адреса или на то, что с одного мак-адреса приходят арп-ответы на несколько IP.

Это можно реализовать на 3028 какими-нибудь средствами? Функции коммутатора изучал, но в голову решение проблемы не пришло..

P.S. спасибо за ответы

Кажется есть решение:
Решил блокировать arp-ответы, в которых зараженная машина притворяется шлюзом по умолчанию. Блокировать на всех портаз, кроме аплинка. В этом случае компьютеры может и не увидят друг друга, но зато со шлюзом "общаться" будут без проблем.
С помощью ACL основе фильтрации по Packet Content.
Но тут возникли определенные трудности. Схема почему-то не работает.
Имеем ip-адрес шлюза: 10.48.44.1 и порт номер 2, на котором будем фильтровать неверные ответы.
Получаем такую конфигурацию:

#show access_profile
Command: show access_profile

Access Profile Table

================================================================================
Profile ID: 1 Type: Packet Content Frame Filter
Used Rule Entries: 1
================================================================================
Masks Option
Offset Payload
------ -------------------------------------
00-15 0x00000000 00000000 00000000 00000000
16-31 0x00000000 00000000 FFFF0000 00000000
32-47 0xFFFFFFFF 00000000 00000000 00000000
48-63 0x00000000 00000000 00000000 00000000
64-79 0x00000000 00000000 00000000 00000000

--------------------------------------------------------------------------------
Access ID : 1
Ports : 2
Mode : Deny
Offset Payload Mask
------ ---------- ----------
24 0x00020000 0xffff0000
42 0x0a302c01 0xffffffff

================================================================================
Total Profile Entries: 1

Total Used Rule Entries: 1

Total Unused Rule Entries: 255


Смещение 24 - тип пакета. Значение 0002 - arp-ответ.
Смещение 42 - ip-адрес шлюза в arp-пакете.

При составлении маски учел то, что внутри коммутатора пакеты представляются в тэгированном виде.

Не работает почему-то
В чем может быть причина?

Версия прошивки?

Boot PROM Version : Build 1.00-B04
Firmware Version : Build 2.00-B14

В этом коммутаторе есть особенность:
На нетегированных портах смещение пакета не происходит, он обрабатывается, как есть ...
Смещение на 4 байта происходит только на портах с тегированным вланом.

Эта схема у меня работает уже больше года, но запретив юзверю быть шлюзом, ты не запрещаешь ему портить жизнь остальным юзверям.

Кстати, тип пакета можно не указывать, т.к. ip адрес в arp пакете смещён на два байта по отношению к ip пакету.
Сэкономь Offset, количество которых в этом коммутаторе ограничено пятью на порт суммарно по всем профилям и правилам.

а где эта IMB в 3028 (1.00-B32) ?

Уже давно второй релиз в ходу.
Где вы такого выкопали ?

Заработало! Спасибо! Действительно, на аксессных портах пакеты фильтруются до инкапсуляции в 802.1q. А то что, будут проблемы с коннективностью между пользователями то это не страшно, главное, что основные платные сервисы доступны через шлюз.
Тему можно считать закрытой.