1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 29, 2025 21:43

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Linework
 Заголовок сообщения: ACL в DES-3526 - подскажите
СообщениеДобавлено: Пн май 14, 2007 09:46 
Не в сети

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула
Надо запретить ICMP ECHO REQUEST на "широковещательный пункт назначения" 255.255.255.255

Подскажите как настроить список доступа и активировать его. Что-то самостоятельно у меня не получается.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: ACL в DES-3526 - подскажите
СообщениеДобавлено: Пн май 14, 2007 13:37 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Вам нужно запретить вообще ICMP для определённых пользователей или только, если destination_ip 255.255.255.255? Пожалуйста, опишите подробнее ТЗ.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Linework
 Заголовок сообщения:
СообщениеДобавлено: Пн май 14, 2007 15:45 
Не в сети

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула
Все ICMP у которых destination_ip 255.255.255.255.
Просто есть такой вид атаки, делается многократный(сколько позволяет порог на broadcast/multicast шторм) ICMP ECHO REQUEST на все доступные адреса с подменой source_ip, идут валом ответы от всех узлов, которые могут отвечать, в результате канал на source_ip просто ложится от ответов.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пн май 14, 2007 17:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Создаём профиль и правило запрещающая для IP 192.168.1.102, который находится на 10 порту:
1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.255.255
destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8 code 0 source_ip 192.168.1.102 destination_ip 255.255.255.255 port 10 deny

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
glat
 Заголовок сообщения:
СообщениеДобавлено: Пн май 14, 2007 20:28 
Не в сети

Зарегистрирован: Пт июн 30, 2006 23:22
Сообщений: 229
Откуда: Запорожье
Linework писал(а):
Все ICMP у которых destination_ip 255.255.255.255.
Просто есть такой вид атаки, делается многократный(сколько позволяет порог на broadcast/multicast шторм) ICMP ECHO REQUEST на все доступные адреса с подменой source_ip, идут валом ответы от всех узлов, которые могут отвечать, в результате канал на source_ip просто ложится от ответов.



расскажи какие симптомы у такой атаки.
Вернуться наверх
 Профиль  
 
Linework
 Заголовок сообщения:
СообщениеДобавлено: Вт май 15, 2007 11:16 
Не в сети

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула
Высокая загрузка сети, невозможно достучаться до сетевого оборудования. Снифер на машинке показывает многократные широковещательные посылки ICMP на 255.255.255.255 (порывшись в заголовке я выснил что это ICMP ECHO REQUEST, типа пинга, только из под протокола ICMP). Причем на всёх свичах в сети выствлен boadcast/multicast фильтр, с выездом на "местность" и подключением ноутбука непосредственно в сегмент сети показывает, что высокая загрузка сети вызвана не столько посылкой ICMP ECHO REQUEST на 255.255.255.255 а сколько ответами ICMP REPLY, от всех, кто может ответить.
Порывшись в интернете я выснил что такое делается намерянно, что-бы подавить связь с кем либо паразитным трафиком.
Конечно, злоумышленника мы отключили, но заняло это примерно 3 часа, в которые часть сети практически не работала. Во избежание этого и хотелось-бы заблокировать такoго рода атаки.
Вернуться наверх
 Профиль  
 
Linework
 Заголовок сообщения:
СообщениеДобавлено: Вт май 15, 2007 11:23 
Не в сети

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула
Bigarov Ruslan писал(а):
Создаём профиль и правило запрещающая для IP 192.168.1.102, который находится на 10 порту:
1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.255.255
destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8 code 0 source_ip 192.168.1.102 destination_ip 255.255.255.255 port 10 deny

А если для всех портов за исключением 26 (up-link) то это должно выглядеть так:
1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.255.255
destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8 code 0 source_ip 192.168.1.102 destination_ip 255.255.255.255 port 1-25 deny
Я правильно понял?
Но мне надо закрыть весь диапазон адресов, например 10.7.xxx.xxx
Я заранее не могу знать с какого IP и с какого порта будет произведена атака.

Код:
1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.0.0
 destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8  code 0 source_ip 10.7.0.0 destination_ip 255.255.255.255 port 1-25 deny

Так?


Последний раз редактировалось Linework Вт май 15, 2007 11:31, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Вт май 15, 2007 11:31 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8 code 0 source_ip 10.7.0.1 destination_ip 255.255.255.255 port 1-25 deny

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Linework
 Заголовок сообщения:
СообщениеДобавлено: Вт май 15, 2007 11:32 
Не в сети

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула
Понял, большое спасибо.
Вернуться наверх
 Профиль  
 
Linework
 Заголовок сообщения:
СообщениеДобавлено: Вт май 15, 2007 11:56 
Не в сети

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула
Код:
DES-3526:4#create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.0.
0 destination_ip_mask 255.255.255.255 profile_id 1
Command: create access_profile ip icmp type

Next possible completions:
code                vlan                source_ip_mask
destination_ip_mask                     dscp                profile_id

DES-3526:4#show access_profile 1
Command: show access_profile

Next possible completions:
{}                  profile_id

DES-3526:4#create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.0.
0 destination_ip_mask 255.255.255.255 profile_id 1
Command: create access_profile ip icmp type

Next possible completions:
code                vlan                source_ip_mask
destination_ip_mask                     dscp                profile_id

DES-3526:4#show access_profile profile_id 1
Command: show access_profile profile_id 1

The entry does not exist.

DES-3526:4#

Что-то профиль не создаётся.


Последний раз редактировалось Linework Вт май 15, 2007 11:58, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
shicoy
 Заголовок сообщения:
СообщениеДобавлено: Вт май 15, 2007 11:58 
Не в сети

Зарегистрирован: Пн дек 11, 2006 11:46
Сообщений: 432
Откуда: Etherway, Чебоксары
Ради эксперемента сделал:

DES-3526:4#create access_profile ip icmp type 8 code 0 source_ip_mask 255.0.0.0
destination_ip_mask 255.255.255.255 profile_id 2
Command: create access_profile ip icmp type

Next possible completions:
code vlan source_ip_mask
destination_ip_mask dscp profile_id

Device Type : DES-3526 Fast-Ethernet Switch
Combo Port Type : 1000Base-T + 1000Base-T
MAC Address : Hidden
IP Address : Hidden
VLAN Name : v98
Subnet Mask : 255.255.255.0
Default Gateway : Hidden
Boot PROM Version : Build 3.00.008
Firmware Version : Build 4.01-B40
Hardware Version : 3A1
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Вт май 15, 2007 12:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Да, в профиле 8 и 0 указывать не нужно.

Код:
DES-3526:4#create access_profile ip icmp type code source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255 profile_id 1
Command: create access_profile ip icmp type code source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255 profile_id 1

Success.   

DES-3526:4#

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB