D-Link • Просмотр темы - Как защитится от флуда на 3526

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Как защитится от флуда на 3526

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

shicoy

Заголовок сообщения: Как защитится от флуда на 3526

Добавлено: Пт сен 28, 2007 09:38

Зарегистрирован: Пн дек 11, 2006 11:46
Сообщений: 432
Откуда: Etherway, Чебоксары

Ситуация:

клиент ради эксперемента поставил Win2000, хз что и как настроил, но в результате:
От него шли UDP пакеты размером 200-600 байт со скоростью примерно 35К в секунду, из них примерно 12К это DCHP запросы.
В результате ядро построеное на DGS3324SR отказывалось маршрутизировать остальные пакеты, потратив практически все ресурсы на обработку этого флуда.

Т.е. имеем потенциальную уязвимость, любой "умник" в состоянии флудануть так что все умрет.

На ум приходят мысли на DES3526 настроить Traffic Control, но честно говоря приемлимой информации о том какие параметры задавать я не нашел. А подбирать эксперементальным путем... ну я хз...сеть это не лаборатория.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 10:21

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Я так понимаю что Вам надо настроить Broadcast storm control. А вот по поводу порога это индивидуально для каждой сети. Начните на access с 1000 пакетов в секунду и опускайтесь вниз. Я ведь не знаю все сервисы которые у вас могут быть.

Вернуться наверх

Pritorius

Заголовок сообщения: Re: Как защитится от флуда на 3526

Добавлено: Пт сен 28, 2007 13:09

Зарегистрирован: Сб дек 20, 2003 08:11
Сообщений: 728
Откуда: Rosnet, Комсомольск-на-Амуре

shicoy писал(а):

А на ACL закрыть? И разрешить только магистральному порту DCHP.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Вернуться наверх

shicoy

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 15:28

Зарегистрирован: Пн дек 11, 2006 11:46
Сообщений: 432
Откуда: Etherway, Чебоксары

А что сделать скажем если злоумышленник:
посылает 20000 UDP пакетов/сек размером 128 байт на какой нить IP в сети (например один из серверов).
Фактически это 100% отказ в обслуживании.

PS. Кстати фильтрация DHCP на клиентских портах стоит.

Вернуться наверх

shicoy

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 15:41

Зарегистрирован: Пн дек 11, 2006 11:46
Сообщений: 432
Откуда: Etherway, Чебоксары

Пример работы:

Код:

Command: show traffic control
Traffic Storm Control Trap : Both

Port Broadcast/          Multicast/          Unicast/           Time     Count
     Threshold/Action    Threshold/Action    Threshold/Action   Interval dowm
     (Action Indication  D:drop S:shutdown  *:port shutdown)
---- ------------------  ------------------  ------------------ -------- -----
1    Enabled/1000/D      Disabled/1000/D     Enabled/1000/D     5        0
2    Enabled/1000/D      Disabled/1000/D     Enabled/1000/D     5        0
3    Enabled/1000/D      Disabled/1000/D     Enabled/1000/D     5        0
4    Enabled/1000/D      Disabled/1000/D     Enabled/1000/D     5        0
5    Enabled/1000/D      Disabled/1000/D     Enabled/1000/D     5        0

Т.е. установили лимит - 1000 пакетов в секунду


Command: show packet ports 1

Port number : 1
Frame Size    Frame Counts  Frames/sec    Frame Type  Total       Total/sec
------------  ------------  ----------    ----------  ----------  ---------
64            51918842      2718          RX Bytes    1920331679  8051645
65-127        14086573      34            RX Frames   124583019   5331
128-255       980556        17
256-511       245124        2             TX Bytes    1798790890  188526
512-1023      2416156       5             TX Frames   76434637    2753
1024-1518     131370405     5308 <--- Как так лимит же 1000!

Unicast RX    124569323     5331
Multicast RX  1045          0
Broadcast RX  12651         0

[/code]

Вернуться наверх

netdog

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 18:43

Зарегистрирован: Чт сен 27, 2007 09:09
Сообщений: 39

shicoy писал(а):

Похожая ситуация имеется, только этот умник какой-нить "глючный перегретый свитч", который зацикливает пакеты в 20-25к которые через него когда-то прошли.

Собственно рождается вопрос, можно ли через des-3526 прибить поток абсолютно одинаковых пакетов.

Это ведь не брудкаст, а обычный пакет, и с точки зрения сети это нормальный не битый пакет. И такой флуд может прибить всю сеть, т.к. остальные свитчи этот мусор будут дальше рассылать, особенно если в их arp таблице свитчей не будет привязки маков к портам назначения (если например mac dst уже отключился)

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 20:53

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Что Вам мешает отсекать UDP по адресу назначения на клиентских портах? По поводу картинки не путайте Unicast пакеты с DLF.

Надо включать Traffic Control совместно с LBD.

Вернуться наверх

netdog

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 21:26

Зарегистрирован: Чт сен 27, 2007 09:09
Сообщений: 39

Demin Ivan писал(а):

Что Вам мешает отсекать UDP по адресу назначения на клиентских портах?

Ничего не мешает =) Ведь адрес назначения может быть разный, как и источника, в разных ситуациях. Хотелось бы детект+дроп на это. Наверное много хотим

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 21:28

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

На Unicast пакеты?

Вернуться наверх

netdog

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 21:45

Зарегистрирован: Чт сен 27, 2007 09:09
Сообщений: 39

Demin Ivan писал(а):

На Unicast пакеты?

ну да, на конкретный dst с конкретного src. (я приводил пример с зациклом некоторого железа)

Или свитч такие флуды таки ловит?)
---
Хотя тут задача по сложнее, наверное.
Например samba траффик может на 100 мегабитах генирировать 6-7к абсолютно нормальных пакетов. Пакеты все разные идентичности не имеют. Seq'ки разные и т .п.

Ограничивать уникаст, это значит прибивать нормальный трафф также. Палочка о 2х концах )

Последний раз редактировалось netdog Пт сен 28, 2007 21:52, всего редактировалось 1 раз.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 21:47

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Нет, можно конечно попробовать ограничить полосу пропускания при помощи ACL Flow Meter. Но это функция не свитча.

Вернуться наверх

netdog

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 21:58

Зарегистрирован: Чт сен 27, 2007 09:09
Сообщений: 39

Demin Ivan писал(а):

Нет, можно конечно попробовать ограничить полосу пропускания при помощи ACL Flow Meter. Но это функция не свитча.

Можно немного подробнее ? Где посмотреть, как использовать и где используется? )

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 22:01

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Команды config flow meter. Это аналог Per Flow Bandwidth Control. Шаг регулировки 1 Мбит/с. http://www.dlink.ru/technical/faq_hub_switch_91.php

Вернуться наверх

netdog

Заголовок сообщения:

Добавлено: Пт сен 28, 2007 22:11

Зарегистрирован: Чт сен 27, 2007 09:09
Сообщений: 39

Demin Ivan писал(а):

Команды config flow meter. Это аналог Per Flow Bandwidth Control. Шаг регулировки 1 Мбит/с. http://www.dlink.ru/technical/faq_hub_switch_91.php

Спасибо, изучу этот механизм.

Вернуться наверх

netdog

Заголовок сообщения:

Добавлено: Сб сен 29, 2007 07:18

Зарегистрирован: Чт сен 27, 2007 09:09
Сообщений: 39

Вопрос может немного не в тему, но тем не менее наишу:
должен ли засекать des-3526 arp spoofing атаку и слать в trap/log ?

Вроде как по pdf должен, я попытался сэмитировать такую атаку через ettercap, свитч молчал как рыба об лёд.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения