D-Link • Просмотр темы - 3612G

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

3612G - Possible spoofing attack

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 9 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

kapa

Заголовок сообщения: 3612G - Possible spoofing attack

Добавлено: Чт авг 30, 2007 19:11

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва

Изначально была вот эта тема: viewtopic.php?t=42380&highlight=3612
но решил уточнить название, потому как кроме Possible spoofing attack больше ничего не беспокоит ( возможно, после того как всунули в центр 3828 - по результатам темы: viewtopic.php?t=44031 )

Итак, имеем следующую схему:

3828 без настроек - центр сети (мак его не писал, потому как он в этой вакханалии не фигурировал пока)
3612G прошиты DGS36xxRun_1.01-B08, потому как в последней версии прошивки возникают проблемы с заливкой ACL (озвучено по 2ой ссылке).

В логах 36-ых постоянно (каждые 5 секунд):
левый

Цитата:

Possible spoofing attack from 00-19-5B-12-2C-40 port 1

правый

Цитата:

Possible spoofing attack from 00-19-5B-12-57-40 port 5

На этом фоне у левого (буду прикреплять грепы логов, чтоб нагляднее показать частоту):

Цитата:

44443 2007-08-30 19:04:54 Possible spoofing attack from 00-19-5B-12-57-40 port 1
44440 2007-08-30 19:04:39 Possible spoofing attack from 00-19-5B-12-57-40 port 1
44326 2007-08-30 18:55:14 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43848 2007-08-30 18:15:44 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43805 2007-08-30 18:12:09 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43626 2007-08-30 17:57:24 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43622 2007-08-30 17:57:04 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43615 2007-08-30 17:56:29 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43610 2007-08-30 17:56:04 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43597 2007-08-30 17:55:09 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43565 2007-08-30 17:52:29 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43358 2007-08-30 17:35:18 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43320 2007-08-30 17:32:08 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43285 2007-08-30 17:29:13 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43129 2007-08-30 17:16:03 Possible spoofing attack from 00-19-5B-12-57-40 port 1
43028 2007-08-30 17:07:53 Possible spoofing attack from 00-19-5B-12-57-40 port 1

Нетрудно заметить, что ругается он на свой мак.

В это же время на левом же:

Цитата:

43712 2007-08-30 18:04:34 Possible spoofing attack from 00-19-5B-12-57-4F port 10
43678 2007-08-30 18:01:44 Possible spoofing attack from 00-19-5B-12-57-4F port 10
43663 2007-08-30 18:00:29 Possible spoofing attack from 00-19-5B-12-57-4F port 10
43364 2007-08-30 17:35:48 Possible spoofing attack from 00-19-5B-12-57-4F port 10
43363 2007-08-30 17:35:43 Possible spoofing attack from 00-19-5B-12-57-4F port 10
43068 2007-08-30 17:11:02 Possible spoofing attack from 00-19-5B-12-57-4F port 10
42764 2007-08-30 16:46:02 Possible spoofing attack from 00-19-5B-12-57-4F port 10
42762 2007-08-30 16:45:52 Possible spoofing attack from 00-19-5B-12-57-4F port 10
41423 2007-08-30 14:55:26 Possible spoofing attack from 00-19-5B-12-57-4F port 10
41422 2007-08-30 14:55:21 Possible spoofing attack from 00-19-5B-12-57-4F port 10
41417 2007-08-30 14:55:01 Possible spoofing attack from 00-19-5B-12-57-4F port 10
41414 2007-08-30 14:54:46 Possible spoofing attack from 00-19-5B-12-57-4F port 10
41344 2007-08-30 14:49:01 Possible spoofing attack from 00-19-5B-12-57-4F port 10
41312 2007-08-30 14:46:21 Possible spoofing attack from 00-19-5B-12-57-4F port 10
41311 2007-08-30 14:46:16 Possible spoofing attack from 00-19-5B-12-57-4F port 10

Такие же логи об этом же маке фигурировали вчера на правом 36-ом и тоже possible spoofing attack были на 10 порту.

Теперь о правом 36-ом:
На нем, кроме ругани о маке левого видим:

Цитата:

2115 2007-08-30 19:05:20 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
2113 2007-08-30 19:05:10 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
1711 2007-08-30 18:32:00 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
1516 2007-08-30 18:15:54 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
1455 2007-08-30 18:10:59 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
1034 2007-08-30 17:36:03 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
89226 2007-08-30 15:06:17 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
88783 2007-08-30 14:29:20 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
88697 2007-08-30 14:22:20 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
87742 2007-08-30 13:03:05 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
87675 2007-08-30 12:57:29 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
87569 2007-08-30 12:48:39 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
87542 2007-08-30 12:46:24 Possible spoofing attack from 00-19-5B-12-2C-40 port 10
87450 2007-08-30 12:38:29 Possible spoofing attack from 00-19-5B-12-2C-40 port 10

Можно увидеть что это его собственный мак.

В то же время на правом же:

Цитата:

2147 2007-08-30 19:08:17 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2145 2007-08-30 19:08:07 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2140 2007-08-30 19:07:42 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2139 2007-08-30 19:07:37 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2134 2007-08-30 19:07:12 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2109 2007-08-30 19:04:50 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2105 2007-08-30 19:04:30 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2098 2007-08-30 19:03:55 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2057 2007-08-30 19:00:30 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
2035 2007-08-30 18:58:40 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
1803 2007-08-30 18:39:39 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
1783 2007-08-30 18:37:59 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
1585 2007-08-30 18:21:40 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
1561 2007-08-30 18:19:39 Possible spoofing attack from 00-19-5B-12-2C-6D port 10
1500 2007-08-30 18:14:34 Possible spoofing attack from 00-19-5B-12-2C-6D port 10

Цитата:

2171 2007-08-30 19:10:17 Possible spoofing attack from 00-19-5B-12-57-40 port 10
1992 2007-08-30 18:55:15 Possible spoofing attack from 00-19-5B-12-57-40 port 10
1981 2007-08-30 18:54:20 Possible spoofing attack from 00-19-5B-12-57-40 port 10
1890 2007-08-30 18:46:45 Possible spoofing attack from 00-19-5B-12-57-40 port 10
1506 2007-08-30 18:15:04 Possible spoofing attack from 00-19-5B-12-57-40 port 10
1471 2007-08-30 18:12:10 Possible spoofing attack from 00-19-5B-12-57-40 port 10
1292 2007-08-30 17:57:24 Possible spoofing attack from 00-19-5B-12-57-40 port 10
1279 2007-08-30 17:56:19 Possible spoofing attack from 00-19-5B-12-57-40 port 10
1276 2007-08-30 17:56:04 Possible spoofing attack from 00-19-5B-12-57-40 port 10

А это мак левого 36-го, но уже на 10-м интерфейсе. Правда, значительно реже.

Логично, конечно, предположить кольцо, но сегменты на 10-ых портах обоих 36-ых разнесены территориально на 2-3км, и расположены так, что даже прямой видимости для радио нет. Да и начальник монтажников божится, что кольца там быть не может.
Что посоветуете?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт авг 30, 2007 19:17

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Варианта только два либо петля либо подмена IP-адреса. Попробуйте включить STP и LBD на этих портах. Совет дождаться прошивки исправляющей первую указанную проблему и пробовать с ней. Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.

Вернуться наверх

D3v!1

Заголовок сообщения:

Добавлено: Вт сен 04, 2007 14:22

Зарегистрирован: Вт сен 04, 2007 11:49
Сообщений: 4

Занимаюсь этой проблемой вместе с kapa.

Если включить LBD, то при обнаружении петли просто отключится порт и половина сети вместе с ним. Я правильно понял?
Разьве включение STP на этих трёх свитчах поможет, если на остальных свитчах он выключен?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт сен 04, 2007 17:34

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

D3v!1 писал(а):

На данный момент функции LBD и STP связанны в данной серии коммутаторов.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт сен 04, 2007 19:29

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Если на всех промежуточных свитчах которые случайно образовали петлю например включена опция FBPDU или они просто пропускают эти пакеты то петля между двумя портами при включённом STP на одной железке всё равно определиться. При включении LBD отслеживаются петли за одним портом и порт отключается при обнаружении петли на время указанное в таймере. Потом процесс повторяется.

Вернуться наверх

D3v!1

Заголовок сообщения:

Добавлено: Вт сен 11, 2007 14:30

Зарегистрирован: Вт сен 04, 2007 11:49
Сообщений: 4

На обоих свитчах сделал enable stp

На левом:
config stp ports 1 state enable edge true lbd enable
config stp ports 10 state enable edge true lbd enable

На правом:
config stp ports 5 state enable edge true lbd enable
config stp ports 10 state enable edge true lbd enable

Порты не отключались.

Логи левого:
84619 2007-09-11, 15:27:25 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84617 2007-09-11, 15:27:15 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84616 2007-09-11, 15:27:10 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84615 2007-09-11, 15:27:05 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84614 2007-09-11, 15:27:00 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84613 2007-09-11, 15:26:55 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84612 2007-09-11, 15:26:50 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84611 2007-09-11, 15:26:45 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84610 2007-09-11, 15:26:40 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84609 2007-09-11, 15:26:35 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84608 2007-09-11, 15:26:30 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84607 2007-09-11, 15:26:24 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84606 2007-09-11, 15:26:19 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84605 2007-09-11, 15:26:14 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84604 2007-09-11, 15:26:09 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84603 2007-09-11, 15:26:04 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84602 2007-09-11, 15:25:59 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84601 2007-09-11, 15:25:54 Possible spoofing attack from 00-19-5B-12-2C-40 port 1
84600 2007-09-11, 15:25:49 Possible spoofing attack from 00-19-5B-12-2C-40 port 1

Логи правого:
88106 2007-09-11, 15:29:31 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88105 2007-09-11, 15:29:26 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88101 2007-09-11, 15:29:21 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88099 2007-09-11, 15:29:16 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88098 2007-09-11, 15:29:11 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88097 2007-09-11, 15:29:06 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88096 2007-09-11, 15:29:01 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88095 2007-09-11, 15:28:56 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88094 2007-09-11, 15:28:51 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88093 2007-09-11, 15:28:46 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88092 2007-09-11, 15:28:41 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88091 2007-09-11, 15:28:36 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88090 2007-09-11, 15:28:31 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88089 2007-09-11, 15:28:26 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88088 2007-09-11, 15:28:21 Possible spoofing attack from 00-19-5B-12-57-40 port 5
88087 2007-09-11, 15:28:16 Possible spoofing attack from 00-19-5B-12-57-40 port 5

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср сен 12, 2007 08:48

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Ни один порт не отключился по LBD?

Вернуться наверх

D3v!1

Заголовок сообщения:

Добавлено: Ср сен 12, 2007 10:39

Зарегистрирован: Вт сен 04, 2007 11:49
Сообщений: 4

D3v!1 писал(а):

Порты не отключались.

Вернуться наверх

Lebedev Maksim

Заголовок сообщения:

Добавлено: Пн сен 17, 2007 12:54

Зарегистрирован: Пт авг 10, 2007 11:04
Сообщений: 277
Откуда: Moscow

Перезвоните в офис пожалуйста. 744-00-99 доб 390, Дёмин Иван.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 9 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения