faq обучение настройка
Текущее время: Чт мар 28, 2024 23:04

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
СообщениеДобавлено: Вт апр 09, 2019 13:26 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
День добрый, коллеги.
Начали покупать DGS-3000-10L - и вот столкнулись с проблемой.
Есть схема включения цепочки:
Ядро <- DES-3200-10-C1 <- DGS-3000-10L <- DES-3200-18-A1 ........<- DES-3200-18-A1
Вложение:
Untitled Diagram(1).png
Untitled Diagram(1).png [ 10.27 KiB | Просмотров: 5359 ]

Прошивки:
DES-3200-10-C1
Boot PROM Version : Build 4.00.002
Firmware Version : Build 4.48.B007
Hardware Version : C1

# DoS

config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmasscan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disab le
config dos_prevention dos_type ping_death_attack action drop state enable
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable
config dos_prevention trap disable
config dos_prevention log enable
------------------------------

DGS-3000-10L
Boot PROM Version : Build 4.00.001
Firmware Version : Build 4.02.B009
Hardware Version : B1
# DoS

config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmasscan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable
config dos_prevention dos_type ping_death_attack action drop state disable
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable
config dos_prevention trap disable
config dos_prevention log enable


Так вот DGS-3000-10L с ключеным dos_prevention dos_type blat_attack action drop state enable - блокирует все проподящие мимо syslog сообщения. А так же синхронизацию времени.
Вот
Вложение:
2019-04-09_124802.png
2019-04-09_124802.png [ 19.13 KiB | Просмотров: 5359 ]

Как кто-то когдато писал: viewtopic.php?f=2&t=160839#p868689
Blat attack. Разновидность DOS атаки в котором порт источника равен порту назначения.
тогда все логично почему срабатывает блокировка.
Но тогда почему показатель Frame Counts - всегда нуль, а в логах сообщения есть. Кстати сам DGS-3000-10L удачно логи сбрасывает.
Выше, перед , DGS-3000-10L стоит DES-3200-10-C1, на нем также включено blat_attack action drop state enable, у меня по всей сети это влючено.
И ничего не блокируется, это пока первый DGS-3000-10L выставленный в сеть с настройками аналогичными DES-3200 - делаем вывод что в DES-3200-A1,B1,C1 - эта функция не работает, или работает выборочно ? Или это баг в DGS-3000-10L

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 09, 2019 16:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Над исправлением работы DoS Prevention уже идет работа, спасибо.
Однако на стенде я не могу подтвердить проблему с синхронизацией времени - ntp пакеты успешно пропускаются коммутатором.
Вы не могли бы прислать дамп обмена ntp трафиком в вашей топологии, который блокируется коммутатором DGS-3000?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср апр 10, 2019 11:20 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
На счет NTP
Я просто когда выяснял почему syslog не приходит с 192.168.80.137(что на схеме), я и прошивку обновил, и перезагрузил и заметил что после перезагрузки время не синхронизируется.
А когда отключил dos_prevention dos_type blat_attack на DGS-3000-10L -то на 192.168.80.137 время синхронизировалось.
На ваш запрос - отдельно проверил NTP.
Выставил синхронизацию каждые 30 сек. на 192.168.80.137
Код:
Command: show sntp

Current Time Source   : Primary SNTP Server
SNTP                  : Enabled
SNTP Primary Server   : 192.168.80.3
SNTP Secondary Server : 0.0.0.0
SNTP Poll Interval    : 30 sec

Запустил tcpdump на сервере и вижу запросы каждые 30 сек.
Код:
11:10:21.568765 IP 192.168.80.137.123 > 192.168.80.3.123: NTPv1, Client, length 48
11:10:21.568818 IP 192.168.80.3.123 > 192.168.80.137.123: NTPv1, Server, length 48
11:10:51.579041 IP 192.168.80.137.123 > 192.168.80.3.123: NTPv1, Client, length 48
11:10:51.579110 IP 192.168.80.3.123 > 192.168.80.137.123: NTPv1, Server, length 48
11:11:21.579399 IP 192.168.80.137.123 > 192.168.80.3.123: NTPv1, Client, length 48
11:11:21.579468 IP 192.168.80.3.123 > 192.168.80.137.123: NTPv1, Server, length 48


Потом включил dos_prevention dos_type blat_attack на DGS-3000-10L - и запросов на сервер больше нет, а в лог DGS-3000-10L есть следующие:

Код:
2019-04-10 - 11:02:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)
2019-04-10 - 11:01:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)
2019-04-10 - 11:00:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)
2019-04-10 - 10:59:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)
2019-04-10 - 10:58:49+03:00 192.168.81.173 INFO: Blat Attack is blocked from (IP: 192.168.80.137 Port: 10)

Страно почему интервал в логах 60 секунд, тогда как запросы идут каждые 30 сек.
Отключил dos_prevention dos_type blat_attack на DGS-3000-10L - сразу запросы на сервере появились ( 192.168.80.137.123 > 192.168.80.3.123)

На счет дампа, картинкой пойдет это на сервере 192.168.80.3 -так пойдет
Вложение:
2019-04-10_111719.png
2019-04-10_111719.png [ 39.22 KiB | Просмотров: 5320 ]

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт апр 11, 2019 16:37 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Картинкой не пойдет - необходим pcap файл.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт апр 12, 2019 17:44 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
Вложение:
ntp-des-3200-18.zip [632 байт]
Скачиваний: 359

PS:
Ответить
Расширение pcapng запрещено администратором.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн мар 23, 2020 18:56 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
Прям Дежавю́ спустя год :)

Коммутатор
Device Type : DGS-3000-28L Gigabit Ethernet Switch
IP Address : 192.168.81.192 (Manual)
VLAN Name : adm4027
Boot PROM Version : Build 3.00.001
Firmware Version : Build 4.16.B005
Hardware Version : B1

Проблема та же с dos_prevention
Код:
DGS-3000-28L:admin#show dos_prevention
Command: show dos_prevention

Trap:Disabled   Log:Enabled     Function Version  : 1.01

DoS Type                    State     Action            Frame Counts
--------------------------  --------  ----------------  ------------
Land Attack                 Enabled   Drop              -
Blat Attack for TCP         Enabled   Drop              -
Blat Attack for UDP         Enabled   Drop              -
TCP Null Scan               Enabled   Drop              -
TCP Xmas Scan               Enabled   Drop              -
TCP SYNFIN                  Enabled   Drop              -
TCP SYN SrcPort Less 1024   Enabled   Drop              -
Ping of Death Attack        Disabled  Drop              -
TCP Tiny Fragment Attack    Enabled   Drop              -


1. в данном случае сам же свитч не может синхронизировать время с NTP серверои по 123 порту
Код:
17:41:57.646021 IP 192.168.81.192.123 > 192.168.80.3.123: NTPv1, Client, length 48
17:41:57.646095 IP 192.168.80.3.123 > 192.168.81.192.123: NTPv1, Server, length 48

на сервере вижу что приходят пакеты и уходит ответ свитчу, но в это время в логах свитча сообщение о блокировке
Код:
160   2000-01-26 07:57:28 INFO(6) UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 25)
159   2000-01-26 07:56:28 INFO(6) UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 25)


Если отключить Blat Attack - время синхронизируется.
Исправьте пожалуйста.

2. В Web-интерфесе всего одна запить Blat Attack, а в консоли их две Blat Attack for TCP и Blat Attack for UDP

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 25, 2020 15:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср мар 29, 2017 16:43
Сообщений: 186
Здравствуйте, Maksel.
Прошу проверить ситуацию с ПО по ссылке: https://cloud.dlink.ru/owcl/index.php/s/n0fCUO0VRhjrk24/download и сообщить по результату.
Спасибо.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб мар 28, 2020 01:18 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
Интересно. Значит, последний баг
> в данном случае сам же свитч не может синхронизировать время с NTP серверои по 123 порту
это исправили,
Но. оставил включенную функцию
config dos_prevention dos_type blat_attack udp state enable
и в логи начали попадать записи снова
UDP Blat Attack is blocked from (IP: 192.168.80.42 Port: 27)


оказывается возвращается к моему самому первому сообщению которое я писал год назад:
viewtopic.php?f=2&t=176416&p=981907#p977866
свитч не пропускает syslog и ntp запросы от других свитчей.
только теперь еще стране, в логах DGS-3000-10L (из картинки в первом посту)

2020-03-28T00:11:15+02:00 192.168.81.173 INFO: UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 9)
2020-03-28T00:12:16+02:00 192.168.81.173 INFO: UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 9)
2020-03-28T00:13:15+02:00 192.168.81.173 INFO: UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 9)
2020-03-28T00:14:15+02:00 192.168.81.173 INFO: UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 9)
2020-03-28T00:15:15+02:00 192.168.81.173 INFO: UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 9)

где 192.168.80.3 - ip syslog,ntp сервера в порту 9, а в 10 порту другие свитчи, от которых не доходит syslog сообщение до сервера и ntp запросы
т.е. свитч именно модель DGS-3000-10L пишет не ip считча, а ip сервера, т.е. destination ip, а было раньше source ip

как только отключил config dos_prevention dos_type blat_attack udp state disable
сразу на сервер начали приходить и syslog и ntp запросы.
00:17:45.670648 IP 192.168.81.171.514 > 192.168.80.3.514: SYSLOG local0.info, length: 106
00:17:47.327492 IP 192.168.81.171.123 > 192.168.80.3.123: NTPv1, Client, length 48
00:17:47.327571 IP 192.168.80.3.123 > 192.168.81.171.123: NTPv1, Server, length 48


А вот DGS-3000-28L - в логи выводит ip свитча который пытался послать syslog и ntp
UDP Blat Attack is blocked from (IP: 192.168.80.42 Port: 27)
тут в логах source ip
:(

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн мар 30, 2020 09:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Добрый день.

В оригинальной схеме нет DGS-3000-28L. Пожалуйста, пришлите на switch dlink.ru конфигурационные файлы и выводы sh sw от DGS-3000-28L и DGS-3000-10L. Мы проверим.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт мар 19, 2021 21:34 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
Так долго dlink баги еще не правил. (извините за сарказм, наболело)
Значит, давайте сначала.


Есть коммутатор 192.168.81.202 : DGS-3000-20L (и другие из это серии)
Есть linux сервер 192.168.80.3

Код:
Device Type                : DGS-3000-20L Gigabit Ethernet Switch
IP Address                 : 192.168.81.202 (Manual)
Boot PROM Version          : Build 4.00.001
Firmware Version           : Build 4.16.B007
Hardware Version           : B1


включена функция dos_prevention

Код:
DGS-3000-20L:admin#show dos_prevention   
Command: show dos_prevention

Trap:Disabled   Log:Enabled   Function Version  : 1.01

DoS Type                    State     Action            Frame Counts
--------------------------  --------  ----------------  ------------
Land Attack                 Enabled   Drop              -           
Blat Attack for TCP         Enabled   Drop              -           
Blat Attack for UDP         Enabled   Drop              -           
TCP Null Scan               Enabled   Drop              -           
TCP Xmas Scan               Enabled   Drop              -           
TCP SYNFIN                  Enabled   Drop              -           
TCP SYN SrcPort Less 1024   Enabled   Drop              -           
Ping of Death Attack        Disabled  Drop              -           
TCP Tiny Fragment Attack    Enabled   Drop              -


1. сам коммутатор не может получить время по sntp т.к. блокирует входящие ответы от sntp сервера

вот видно на linux
Код:
20:17:15.844429 IP 192.168.81.202.123 > 192.168.80.3.123: NTPv1, Client, length 48
20:17:15.844484 IP 192.168.80.3.123 > 192.168.81.202.123: NTPv1, Server, length 48


и информация об этой блокировке попадает в логи свитча
Цитата:
192.168.81.202 INFO: UDP Blat Attack is blocked from (IP: 192.168.80.3 Port: 19)


2. Все что включено за этим свичтем , не могут отправить syslog на сервер и и получить время по sntp от сервера
данный свитч при включеной фунции Blat Attack for UDP Enabled Drop - блокирует пакеты syslog которые идут с 514 на 514 udp порт и sntp пакеты которые идут со 123 на 123 udp порты

вот https://tools.ietf.org/html/rfc958 где описан ntp

1. какой будет ответ длинк - это баг и он будет исправен.
2. это не баг и эту функцию лучше не использовать ?

на почту switch dlink.ru отправляю конфиг свитча как и просили.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: larens53 и гости: 64


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB