Jump to content
Калькуляторы

Перебор IP адресов. Как бороться?

Всем привет. Начинает приобретать массовый характер следующая проблема - с мак адреса идет такая белиберда. Перебор начинается с IP шлюза(172.16.79.1) и идет до бесконечности.

17:20:23.028530 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46
17:20:23.212956 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46
17:20:23.399657 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46
17:20:23.452504 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.134 tell 172.16.79.49, length 46
17:20:23.452515 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.135 tell 172.16.79.49, length 46
17:20:23.452518 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.136 tell 172.16.79.49, length 46
17:20:23.452522 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.139 tell 172.16.79.49, length 46
17:20:23.452525 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.140 tell 172.16.79.49, length 46
17:20:23.452529 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.141 tell 172.16.79.49, length 46
17:20:23.586785 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.145 tell 172.16.79.49, length 46
17:20:23.775203 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.146 tell 172.16.79.49, length 46
17:20:23.952507 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.137 tell 172.16.79.49, length 46
17:20:23.952519 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.138 tell 172.16.79.49, length 46
17:20:23.952523 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46
17:20:23.952526 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46
17:20:23.952530 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46
17:20:23.961655 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.147 tell 172.16.79.49, length 46
17:20:24.175721 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.148 tell 172.16.79.49, length 46
17:20:24.398937 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.149 tell 172.16.79.49, length 46
17:20:24.452619 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.139 tell 172.16.79.49, length 46
17:20:24.452630 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.140 tell 172.16.79.49, length 46
17:20:24.452635 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.141 tell 172.16.79.49, length 46
17:20:24.452640 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.145 tell 172.16.79.49, length 46
17:20:24.452644 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.146 tell 172.16.79.49, length 46
17:20:24.583185 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.150 tell 172.16.79.49, length 46
17:20:24.767607 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.151 tell 172.16.79.49, length 46
17:20:24.952626 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46
17:20:24.952637 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46
17:20:24.952640 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46
17:20:24.952643 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.147 tell 172.16.79.49, length 46
17:20:24.952941 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.148 tell 172.16.79.49, length 46
17:20:24.952946 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.149 tell 172.16.79.49, length 46
17:20:24.952952 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.152 tell 172.16.79.49, length 46

 

Мак адреса находятся в разных VLAN. Друг от друга изолированных. Схема - VLAN на дом, порты изолированы,т.е как бы не очень то и мешает, но... Вопрос - что это значит, как воспринимать и как бороться средствами коммутаторов Linksys SP224g4 и Eltex MES3124F(центр)

Share this post


Link to post
Share on other sites

Вопрос - что это значит, как воспринимать и как бороться

Обычный скан адресов, сам по себе ничем не грозит. "Защититься" нельзя, т.к. это просто злоупотребление нормальным поведением в сети. Можете позвонить этому абоненту и спросить что он там такое делает, можете забить.

Share this post


Link to post
Share on other sites

Смущает то, что accel-ppp при этом начинает активно кушать кэш. Только что падал, хотя, может и не связано с этим. Но таких уже 6. В разных районах города. Потому очень хочется зарезать такое, оставив только PPPoE

Edited by myth

Share this post


Link to post
Share on other sites

в таком случае - похоже, у кого-то ОС не поняла /32 маршрут и поставила стандартную широкую маску (+ далеко не все сохо роутеры умеют /32 маску).

 

выдавайте клиентам нормальную маску.

Share this post


Link to post
Share on other sites

Вероятно какая то гадость хочет заразить соседей и перебирает соседние IP.

Странно только что оно делает арп а не идёт через шлюз.

 

Если хочется узнать что это - отдайте ему мак шлюза (проксиарп включить или статикой прописать соответствие) и заверните траф к себе, будет видно что оно хочет.

Share this post


Link to post
Share on other sites

Решили сходить к абонентам и полечить вирусы. А пока выключил порты...

 

Накрайняк можно IPv4 выключить и порекомендовать ОС переставить.

Share this post


Link to post
Share on other sites

На крайняк? Лол)) IP надо выключать во всей сети, если у вас чистый PPPoE.

 

А у абонентов только пороги зря топтать.

 

Локалка при наличии инета через РРРоЕ, это прерогатива отсталых провов аля гадюкино-NET.

Edited by Diamont

Share this post


Link to post
Share on other sites

252?

 

Кроме того, почти 3 месяца это нормально работало. Тестировалось на Win XP и 7

ну на венде много чего нормально работает, даже когда тупо шлюз указан из совсем левой подсети без каких-либо роутов - на него трафик ходит. при том что на других осях такая порнуха работать не будет в принципе.

 

говорю же - указывайте нормальные маски. многие роутеры ваше извращение с /32 не понимают в принципе под любым соусом (на вскидку - любой на реалеке, типа шлаковых RT-N10E). сделайте несколько подсетей /22-/24, и выдавайте из них адреса (аксель умеет).

 

На крайняк? Лол)) IP надо выключать во всей сети, если у вас чистый PPPoE.

какой чистый PPPoE, вы чего? IPoE чел строит - иначе с чего бы брас-демону на arp реагировать.

Share this post


Link to post
Share on other sites

В данный момент PPPoE. IPoE пока в планах,т.к не все оборудование умеет 82 опцию.

 

Т.е на всех юзер вланах можно отключить прием arp через sysctl ?

Share this post


Link to post
Share on other sites

на корневом свиче или на домовых - запретите арп вообще )) и акселю станет полегче, и вы успокоитесь ))

Share this post


Link to post
Share on other sites

на длинках точно можно запретить все кроме PPPoE.

Мы так и сделали и уже давно в некоторых сегментах где все еще живет PPPoE

Share this post


Link to post
Share on other sites

на длинках точно можно запретить все кроме PPPoE.

Наивные :)

Те два числа в поле type Ethernet пакета ничего не значат, вместо одного можно пустить арп, а вместо другого IP и на другом конце менять обратно. А можно просто на коммутаторах с qinq прописать код внешней метки под пппое...

Share this post


Link to post
Share on other sites

Поскольку у ТС как раз ARP-флуд, на MES3124F включить ARP Inspection во всех вланах кроме управления, а там уж смотреть, запрещать по Ethertype сам IP или нет.

Share this post


Link to post
Share on other sites

Вероятно какая то гадость хочет заразить соседей и перебирает соседние IP.

Странно только что оно делает арп а не идёт через шлюз.

 

Если хочется узнать что это - отдайте ему мак шлюза (проксиарп включить или статикой прописать соответствие) и заверните траф к себе, будет видно что оно хочет.

 

Все верно.

 

Это обычная вирусня, типа бот-нет клиента, которая попадает на машину из внешки, а потом распространяется по локальной сети на уязвимые машины.

Причем это старые версии какой-то вирусни. Более новые сканили сеть не по порядку а рандомно, чтобы сложнее было обнаружить.

Share this post


Link to post
Share on other sites

А что не так с Eltex?

 

У них своё видение опции 82, отличное от остального ширпотреб сегмента. Может быть что-то поменялось, но год назад и полгода назад там были известные проблемы с этим функционалом.

 

П.С. EAPS на eltex тоже та ещё муть, проприетарная реализация проприетарного протокола от Extreme, которая с оригинальной проприетарщиной в принципе не работает.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.