DES-3200-28
Boot PROM Version : Build 1.00.005
Firmware Version : Build 1.82.B002
Hardware Version : A1

по syslog от свитча пришло:
CRIT: Blat Attack is detected from (IP: 10.1.64.110 Port: 28)


DES-3200-28:5#show dos_prevention
Trap/Log :Enabled

DoS Type State Action Frame Counts
-------------------------- -------- ---------------- ------------
Land Attack Enabled Drop 22
Blat Attack Enabled Drop 49
Smurf Attack Enabled Drop 0
TCP Null Scan Enabled Drop 0
TCP Xmascan Enabled Drop 0
TCP SYNFIN Enabled Drop 0
TCP SYN SrcPort less 1024 Disabled Drop 0


в 28 порт включен
DES-3200-26
Boot PROM Version : Build 4.00.002
Firmware Version : Build 4.31.B008
Hardware Version : C1

DES-3200-26:admin#show dos_prevention
Trap:Disabled Log:Disabled Function Version : 1.01

DoS Type State Action Frame Counts
-------------------------- -------- ---------------- ------------
Land Attack Disabled Drop -
Blat Attack Disabled Drop -
TCP Null Scan Disabled Drop -
TCP Xmas Scan Disabled Drop -
TCP SYNFIN Disabled Drop -
TCP SYN SrcPort Less 1024 Disabled Drop -
Ping of Death Attack Disabled Drop -
TCP Tiny Fragment Attack Disabled Drop -


как я понял от абонента 10.1.64.110 что-то прошло через коммутатор доступа и попало на магистральный коммутатор.


вопрос: что эти функции защищают: - интерфейс коммутатора (тогда странно как трафик от абонента попал в управляющий влан) или анализируется входящий трафик в порт и дропается то что похоже на Dos.
Есть ли более детальное описание как работает защита от DoS'а?
Чтобы не получилось, что сейчас включу на всех свитчах , а потом будет как с DIR-615 при включеном firewall'е выкидывало с игры Warface.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.

Кратко описание - здесь
Более подробно о тех или иных типах атак можете почитать в интернете.

Как-то составлял описание атак, которые блокируют коммутаторы D'Link. Поправьте если есть ошибки.
Описание атак:
Ping of death — тип сетевой атаки, при которой компьютер-жертва получает особым образом подделанный эхо-запрос (ping), после которого он перестает отвечать на запросы вообще. В данный момент этот тип атак практически не наблюдается, т.к. уязвимость была исправлена в конце 90х годов.
tcp_synfin. Одна из разновидностей стелс сканирования. В данном пакете одновременно установлены флаги SYN (используется для установления соединения) и FIN (Final - посылается при завершении соединения ). Расчет делается на то, что на такой пакет разные TCP/IP стеки реагигуют по разному. На основании этого делается вывод о том какая ОС на хосте.
Blat attack. Разновидность DOS атаки в котором порт источника равен порту назначения.
Land attack. Метод атаки заключается в отправке поддельного пакета TCP SYN (инициация соединения) с одинаковыми IP-адресами и номерами портов источника и назначения. Может приводить к зависанию сервера.
tcp_xmasscan. Дос атака в которой порядковый номер пакета равен нулю, а FIN, URG и PSH биты установлены.
tcp_null_scan. Тип атаки в которой порядковый номер пакета равен нулю и все управляющие биты установлены в ноль. Используется для получения информации об открытых портов портах клиента, версии ОС и тп.
tcp_tiny_frag_attack (атака малыми фрагментами). Детектируется в случае, если размер любого из фрагментов за исключением последнего меньше 400 байт, это означает, что фрагмент, по-видимому, преднамеренно сформирован. Малые фрагменты могут использоваться в атаках типа «отказ в обслуживании» или при попытках обойти защитные механизмы.
tcp_syn_srcport_less_1024. Тип атаки в котором при установлении соединения указывается порт источника меньше 1024. Обычно данные порты зарезервированны службы и не выдаются при создании TCP подлючения.

Да кратко я видел.
Но там не сказано следующие:
1) догадываюсь что фильтруется входящий трафик в порт. Так ?
2) кто (портовые чипы или проц) занимаемся фильтрацией?
а) если проц, то как это сказывается на производительности коммутатора. Если еще взять во внимание что построено RSTP и 25-26 порты магистральные через который льется 200-250 мбит.
3) подозреваю что на PPPoE это никак не влияет, а только на локальный тарфик (серые ip) и тех клиентов(в тех вланах) где DHCP былые ip.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.

обрабатывается входящий трафик, на процессор не уходит

Добрый день,
есть 5 коммутаторов подвисших по менеджменту после Blat Attack.
версия прошивки Build 1.85.B008
Hardware Version : B1

как то это вылечить можно?