myth Posted January 9, 2016 · Report post Всем привет. Начинает приобретать массовый характер следующая проблема - с мак адреса идет такая белиберда. Перебор начинается с IP шлюза(172.16.79.1) и идет до бесконечности. 17:20:23.028530 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46 17:20:23.212956 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46 17:20:23.399657 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46 17:20:23.452504 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.134 tell 172.16.79.49, length 46 17:20:23.452515 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.135 tell 172.16.79.49, length 46 17:20:23.452518 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.136 tell 172.16.79.49, length 46 17:20:23.452522 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.139 tell 172.16.79.49, length 46 17:20:23.452525 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.140 tell 172.16.79.49, length 46 17:20:23.452529 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.141 tell 172.16.79.49, length 46 17:20:23.586785 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.145 tell 172.16.79.49, length 46 17:20:23.775203 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.146 tell 172.16.79.49, length 46 17:20:23.952507 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.137 tell 172.16.79.49, length 46 17:20:23.952519 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.138 tell 172.16.79.49, length 46 17:20:23.952523 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46 17:20:23.952526 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46 17:20:23.952530 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46 17:20:23.961655 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.147 tell 172.16.79.49, length 46 17:20:24.175721 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.148 tell 172.16.79.49, length 46 17:20:24.398937 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.149 tell 172.16.79.49, length 46 17:20:24.452619 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.139 tell 172.16.79.49, length 46 17:20:24.452630 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.140 tell 172.16.79.49, length 46 17:20:24.452635 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.141 tell 172.16.79.49, length 46 17:20:24.452640 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.145 tell 172.16.79.49, length 46 17:20:24.452644 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.146 tell 172.16.79.49, length 46 17:20:24.583185 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.150 tell 172.16.79.49, length 46 17:20:24.767607 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.151 tell 172.16.79.49, length 46 17:20:24.952626 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46 17:20:24.952637 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46 17:20:24.952640 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46 17:20:24.952643 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.147 tell 172.16.79.49, length 46 17:20:24.952941 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.148 tell 172.16.79.49, length 46 17:20:24.952946 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.149 tell 172.16.79.49, length 46 17:20:24.952952 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.152 tell 172.16.79.49, length 46 Мак адреса находятся в разных VLAN. Друг от друга изолированных. Схема - VLAN на дом, порты изолированы,т.е как бы не очень то и мешает, но... Вопрос - что это значит, как воспринимать и как бороться средствами коммутаторов Linksys SP224g4 и Eltex MES3124F(центр) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted January 9, 2016 · Report post Вопрос - что это значит, как воспринимать и как бороться Обычный скан адресов, сам по себе ничем не грозит. "Защититься" нельзя, т.к. это просто злоупотребление нормальным поведением в сети. Можете позвонить этому абоненту и спросить что он там такое делает, можете забить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 9, 2016 (edited) · Report post Смущает то, что accel-ppp при этом начинает активно кушать кэш. Только что падал, хотя, может и не связано с этим. Но таких уже 6. В разных районах города. Потому очень хочется зарезать такое, оставив только PPPoE Edited January 9, 2016 by myth Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted January 9, 2016 · Report post маску поуже выдавайте что ли... + рейтлимит арп на свичах порой бывает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 9, 2016 · Report post NiTr0, /32+маршрут до GW. Куда уже?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted January 9, 2016 · Report post в таком случае - похоже, у кого-то ОС не поняла /32 маршрут и поставила стандартную широкую маску (+ далеко не все сохо роутеры умеют /32 маску). выдавайте клиентам нормальную маску. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 9, 2016 · Report post 252? Кроме того, почти 3 месяца это нормально работало. Тестировалось на Win XP и 7 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 10, 2016 · Report post Вероятно какая то гадость хочет заразить соседей и перебирает соседние IP. Странно только что оно делает арп а не идёт через шлюз. Если хочется узнать что это - отдайте ему мак шлюза (проксиарп включить или статикой прописать соответствие) и заверните траф к себе, будет видно что оно хочет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 10, 2016 · Report post Решили сходить к абонентам и полечить вирусы. А пока выключил порты... Накрайняк можно IPv4 выключить и порекомендовать ОС переставить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted January 10, 2016 (edited) · Report post На крайняк? Лол)) IP надо выключать во всей сети, если у вас чистый PPPoE. А у абонентов только пороги зря топтать. Локалка при наличии инета через РРРоЕ, это прерогатива отсталых провов аля гадюкино-NET. Edited January 10, 2016 by Diamont Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted January 10, 2016 · Report post 252? Кроме того, почти 3 месяца это нормально работало. Тестировалось на Win XP и 7 ну на венде много чего нормально работает, даже когда тупо шлюз указан из совсем левой подсети без каких-либо роутов - на него трафик ходит. при том что на других осях такая порнуха работать не будет в принципе. говорю же - указывайте нормальные маски. многие роутеры ваше извращение с /32 не понимают в принципе под любым соусом (на вскидку - любой на реалеке, типа шлаковых RT-N10E). сделайте несколько подсетей /22-/24, и выдавайте из них адреса (аксель умеет). На крайняк? Лол)) IP надо выключать во всей сети, если у вас чистый PPPoE. какой чистый PPPoE, вы чего? IPoE чел строит - иначе с чего бы брас-демону на arp реагировать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 10, 2016 · Report post В данный момент PPPoE. IPoE пока в планах,т.к не все оборудование умеет 82 опцию. Т.е на всех юзер вланах можно отключить прием arp через sysctl ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 10, 2016 (edited) · Report post Хотя, как отключить ответы на ARP я знаю, а как отключить (ifconfig X -arp) прием - нет... Edited January 10, 2016 by myth Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted January 10, 2016 · Report post ipoe можно и без 82 опции, надо qinq на свитчах Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 10, 2016 · Report post Спасибо, поразмыслю на досуге.) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted January 10, 2016 · Report post В данный момент PPPoE. тогда чего accel-ppp демон вообще на arp как-либо реагирует? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted January 10, 2016 · Report post на корневом свиче или на домовых - запретите арп вообще )) и акселю станет полегче, и вы успокоитесь )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 11, 2016 · Report post Средствами Eltex это возможно? Желательно, чтоб в Management VLAN arp ходили Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted January 11, 2016 · Report post на длинках точно можно запретить все кроме PPPoE. Мы так и сделали и уже давно в некоторых сегментах где все еще живет PPPoE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted January 11, 2016 · Report post IPoE чел строит Какой там нафиг IPoE? У чела Eltex, пусть радуется, что хоть РРРоЕ работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 11, 2016 · Report post на длинках точно можно запретить все кроме PPPoE. Наивные :) Те два числа в поле type Ethernet пакета ничего не значат, вместо одного можно пустить арп, а вместо другого IP и на другом конце менять обратно. А можно просто на коммутаторах с qinq прописать код внешней метки под пппое... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 11, 2016 · Report post Поскольку у ТС как раз ARP-флуд, на MES3124F включить ARP Inspection во всех вланах кроме управления, а там уж смотреть, запрещать по Ethertype сам IP или нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 11, 2016 · Report post А что не так с Eltex? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eugenyb Posted January 12, 2016 · Report post Вероятно какая то гадость хочет заразить соседей и перебирает соседние IP. Странно только что оно делает арп а не идёт через шлюз. Если хочется узнать что это - отдайте ему мак шлюза (проксиарп включить или статикой прописать соответствие) и заверните траф к себе, будет видно что оно хочет. Все верно. Это обычная вирусня, типа бот-нет клиента, которая попадает на машину из внешки, а потом распространяется по локальной сети на уязвимые машины. Причем это старые версии какой-то вирусни. Более новые сканили сеть не по порядку а рандомно, чтобы сложнее было обнаружить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted January 12, 2016 · Report post А что не так с Eltex? У них своё видение опции 82, отличное от остального ширпотреб сегмента. Может быть что-то поменялось, но год назад и полгода назад там были известные проблемы с этим функционалом. П.С. EAPS на eltex тоже та ещё муть, проприетарная реализация проприетарного протокола от Extreme, которая с оригинальной проприетарщиной в принципе не работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...