D-Link • Просмотр темы - DES-3526, Possible spoofing attack

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3526, Possible spoofing attack

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

joesm

Заголовок сообщения: DES-3526, Possible spoofing attack

Добавлено: Вт мар 04, 2008 06:56

Зарегистрирован: Вт сен 13, 2005 12:39
Сообщений: 36
Откуда: Omsk

Записи в логе:
Possible spoofing attack from 00-1B-11-B5-B4-CA port 18
00-1B-11-B5-B4-CA - это MAC-адрес свича.

Чем вызвано и как с этим бороться?

Вернуться наверх

Kuznetsov_t

Заголовок сообщения: Re: DES-3526, Possible spoofing attack

Добавлено: Вт мар 04, 2008 09:13

Зарегистрирован: Пт апр 06, 2007 11:27
Сообщений: 99

joesm писал(а):

Записи в логе:
Possible spoofing attack from 00-1B-11-B5-B4-CA port 18
00-1B-11-B5-B4-CA - это MAC-адрес свича.

Чем вызвано и как с этим бороться?

Сталкивался с этим явление. Если я правильно понимаю свитч зеркалирует mac адрес и сам себя атакует. Может порт выгорел?

_________________
best regards
kuznetsov timofey

Вернуться наверх

joesm

Заголовок сообщения:

Добавлено: Вт мар 04, 2008 09:44

Зарегистрирован: Вт сен 13, 2005 12:39
Сообщений: 36
Откуда: Omsk

может быть кольцо или повреждение кабеля ?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт мар 04, 2008 10:52

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Могут и клиенты потделывать МАС коммутатора, всё зависит от того, какой Вы функционал настроили и используете.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

joesm

Заголовок сообщения:

Добавлено: Вт мар 04, 2008 12:17

Зарегистрирован: Вт сен 13, 2005 12:39
Сообщений: 36
Откуда: Omsk

дефолтная конфигурация + включен RSTP на 1-м порту и lbd на остальных
config stp ports 2-24 lbd enable state disable
config stp ports 1 state enable

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Вт мар 04, 2008 13:42

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

у меня похожая проблема, на 3828 в Vlan создано несколько интефейсов, и у всех у них одинаковый мак (один и-фейс primary остальные secondary) ну вот он и орет в лог постоянно, нельзя ли что нибудь с этим сделать, а то сильно засоряет лог.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт мар 04, 2008 14:54

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Для анализа нужна полная схема сети, включая порты, а также полный кусок конфига STP и какие дополнительные функции настроены на коммутаторе с комментариями.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Вт мар 04, 2008 17:52

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

мне тоже?
STP выключен, тот сегмент где было несколько интерфейсов подключен только к одному порту коммутатора. Могу и полный конфиг привести, надо ли?

Убрали этот сегмент с 3828 переключили на 3326GSR та же ситуация ругается сам на себя в лог про spoofing. Я не спорю что это неправильно, все в принципе верное, получается несколько IP с одним маком, он и ругается, вопрос только в том что он в принципе не должен бы этого делать, ибо это не атака и так и должно быть, я так понимаю это будет на любом L3 коммутаторе, вопрос только в том что может быть сделать так чтобы он этого не делал, или выдавал бы другой мак на Secondary интерфейсы

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт мар 06, 2008 23:24

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Это означает что либо кто-то подменил IP-адрес в сегменте на адрес интерфейса свитча либо в сегменте есть петля.

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Чт мар 06, 2008 23:53

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

4717 2008-03-06 23:49:09 Possible spoofing attack from 00-15-E9-36-19-01 port 1
:18
4716 2008-03-06 23:48:59 Possible spoofing attack from 00-15-E9-36-19-01 port 1
:18
4715 2008-03-06 23:48:29 Possible spoofing attack from 00-15-E9-36-19-01 port 1
:18
4714 2008-03-06 23:48:19 Possible spoofing attack from 00-15-E9-36-19-01 port 1
:18
4713 2008-03-06 23:48:03 Possible spoofing attack from 00-15-E9-36-19-01 port 1
:18
4712 2008-03-06 23:47:23 Possible spoofing attack from 00-15-E9-36-19-01 port 1
:18
4711 2008-03-06 23:47:23 Possible spoofing attack from 00-15-E9-36-19-01 port 1
:18
4710 2008-03-06 23:46:45 Possible spoofing attack from 00-15-E9-36-19-01 port 1
:18

Если бы это была бы петля я думаю мы бы заметили, понимаете он постоянно пишет в лог эти сообщения а у нас нет вообще никаких проблем со связью в том сегменте.
Просто именно на этот порт обращен влан с несколькими интерфейсами.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт мар 07, 2008 00:36

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

А какая у Вас текущая версия прошивки?

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Пт мар 07, 2008 04:12

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

DXS-3326GSR Stackable Ethernet Switch
Command Line Interface

Firmware: Build 4.40-B16

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт мар 07, 2008 16:57

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

А почему уверены что нет подмены IP-интерфейса?

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Сб мар 08, 2008 17:04

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

под freeBSD есть такая утилита, ARPing.

56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=227 time=10.009 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=228 time=9.986 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=229 time=9.956 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=230 time=10.015 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=231 time=10.018 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=232 time=9.985 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=233 time=10.007 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=234 time=9.972 msec
60 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=235 time=10.067 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=236 time=9.979 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=237 time=9.989 msec
56 bytes from 00:15:e9:36:19:01 (172.19.22.1): index=238 time=10.002 msec

вот результат ее работы, иногда почему то проскакивают пакеты по 60 байт, а после них идет одна потеря, бывает что и не идет. (незнаю имеет ли это отношение к спуфингу, просто странность). А сам коммутатор может анонсить свой мак в сеть без запросов? У меня такое ощущение что это оно и есть.

Но если интерфейс положить на GSR то ответы перестают идти вообще. Если бы это был спуфинг было бы больше ответов, и при выключении интерфейса ответы все равно шли бы.

плюс там стоит центральный коммутатор на район, я его проверял, смотрел таблицы по портам, мак 00:15:e9:36:19:01 , только на одном порту, собственно на каком и должен быть.

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Сб мар 08, 2008 19:47

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

ищите петлю в сети

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 117

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения