myth Posted January 9, 2016 Posted January 9, 2016 Всем привет. Начинает приобретать массовый характер следующая проблема - с мак адреса идет такая белиберда. Перебор начинается с IP шлюза(172.16.79.1) и идет до бесконечности. 17:20:23.028530 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46 17:20:23.212956 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46 17:20:23.399657 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46 17:20:23.452504 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.134 tell 172.16.79.49, length 46 17:20:23.452515 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.135 tell 172.16.79.49, length 46 17:20:23.452518 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.136 tell 172.16.79.49, length 46 17:20:23.452522 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.139 tell 172.16.79.49, length 46 17:20:23.452525 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.140 tell 172.16.79.49, length 46 17:20:23.452529 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.141 tell 172.16.79.49, length 46 17:20:23.586785 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.145 tell 172.16.79.49, length 46 17:20:23.775203 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.146 tell 172.16.79.49, length 46 17:20:23.952507 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.137 tell 172.16.79.49, length 46 17:20:23.952519 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.138 tell 172.16.79.49, length 46 17:20:23.952523 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46 17:20:23.952526 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46 17:20:23.952530 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46 17:20:23.961655 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.147 tell 172.16.79.49, length 46 17:20:24.175721 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.148 tell 172.16.79.49, length 46 17:20:24.398937 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.149 tell 172.16.79.49, length 46 17:20:24.452619 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.139 tell 172.16.79.49, length 46 17:20:24.452630 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.140 tell 172.16.79.49, length 46 17:20:24.452635 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.141 tell 172.16.79.49, length 46 17:20:24.452640 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.145 tell 172.16.79.49, length 46 17:20:24.452644 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.146 tell 172.16.79.49, length 46 17:20:24.583185 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.150 tell 172.16.79.49, length 46 17:20:24.767607 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.151 tell 172.16.79.49, length 46 17:20:24.952626 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.142 tell 172.16.79.49, length 46 17:20:24.952637 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.143 tell 172.16.79.49, length 46 17:20:24.952640 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.144 tell 172.16.79.49, length 46 17:20:24.952643 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.147 tell 172.16.79.49, length 46 17:20:24.952941 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.148 tell 172.16.79.49, length 46 17:20:24.952946 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.149 tell 172.16.79.49, length 46 17:20:24.952952 30:85:a9:43:bf:ff (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 172.17.5.152 tell 172.16.79.49, length 46 Мак адреса находятся в разных VLAN. Друг от друга изолированных. Схема - VLAN на дом, порты изолированы,т.е как бы не очень то и мешает, но... Вопрос - что это значит, как воспринимать и как бороться средствами коммутаторов Linksys SP224g4 и Eltex MES3124F(центр) Вставить ник Quote
xcme Posted January 9, 2016 Posted January 9, 2016 Вопрос - что это значит, как воспринимать и как бороться Обычный скан адресов, сам по себе ничем не грозит. "Защититься" нельзя, т.к. это просто злоупотребление нормальным поведением в сети. Можете позвонить этому абоненту и спросить что он там такое делает, можете забить. Вставить ник Quote
myth Posted January 9, 2016 Author Posted January 9, 2016 (edited) Смущает то, что accel-ppp при этом начинает активно кушать кэш. Только что падал, хотя, может и не связано с этим. Но таких уже 6. В разных районах города. Потому очень хочется зарезать такое, оставив только PPPoE Edited January 9, 2016 by myth Вставить ник Quote
NiTr0 Posted January 9, 2016 Posted January 9, 2016 маску поуже выдавайте что ли... + рейтлимит арп на свичах порой бывает. Вставить ник Quote
myth Posted January 9, 2016 Author Posted January 9, 2016 NiTr0, /32+маршрут до GW. Куда уже?) Вставить ник Quote
NiTr0 Posted January 9, 2016 Posted January 9, 2016 в таком случае - похоже, у кого-то ОС не поняла /32 маршрут и поставила стандартную широкую маску (+ далеко не все сохо роутеры умеют /32 маску). выдавайте клиентам нормальную маску. Вставить ник Quote
myth Posted January 9, 2016 Author Posted January 9, 2016 252? Кроме того, почти 3 месяца это нормально работало. Тестировалось на Win XP и 7 Вставить ник Quote
Ivan_83 Posted January 10, 2016 Posted January 10, 2016 Вероятно какая то гадость хочет заразить соседей и перебирает соседние IP. Странно только что оно делает арп а не идёт через шлюз. Если хочется узнать что это - отдайте ему мак шлюза (проксиарп включить или статикой прописать соответствие) и заверните траф к себе, будет видно что оно хочет. Вставить ник Quote
myth Posted January 10, 2016 Author Posted January 10, 2016 Решили сходить к абонентам и полечить вирусы. А пока выключил порты... Накрайняк можно IPv4 выключить и порекомендовать ОС переставить. Вставить ник Quote
Diamont Posted January 10, 2016 Posted January 10, 2016 (edited) На крайняк? Лол)) IP надо выключать во всей сети, если у вас чистый PPPoE. А у абонентов только пороги зря топтать. Локалка при наличии инета через РРРоЕ, это прерогатива отсталых провов аля гадюкино-NET. Edited January 10, 2016 by Diamont Вставить ник Quote
NiTr0 Posted January 10, 2016 Posted January 10, 2016 252? Кроме того, почти 3 месяца это нормально работало. Тестировалось на Win XP и 7 ну на венде много чего нормально работает, даже когда тупо шлюз указан из совсем левой подсети без каких-либо роутов - на него трафик ходит. при том что на других осях такая порнуха работать не будет в принципе. говорю же - указывайте нормальные маски. многие роутеры ваше извращение с /32 не понимают в принципе под любым соусом (на вскидку - любой на реалеке, типа шлаковых RT-N10E). сделайте несколько подсетей /22-/24, и выдавайте из них адреса (аксель умеет). На крайняк? Лол)) IP надо выключать во всей сети, если у вас чистый PPPoE. какой чистый PPPoE, вы чего? IPoE чел строит - иначе с чего бы брас-демону на arp реагировать. Вставить ник Quote
myth Posted January 10, 2016 Author Posted January 10, 2016 В данный момент PPPoE. IPoE пока в планах,т.к не все оборудование умеет 82 опцию. Т.е на всех юзер вланах можно отключить прием arp через sysctl ? Вставить ник Quote
myth Posted January 10, 2016 Author Posted January 10, 2016 (edited) Хотя, как отключить ответы на ARP я знаю, а как отключить (ifconfig X -arp) прием - нет... Edited January 10, 2016 by myth Вставить ник Quote
zavndw Posted January 10, 2016 Posted January 10, 2016 ipoe можно и без 82 опции, надо qinq на свитчах Вставить ник Quote
myth Posted January 10, 2016 Author Posted January 10, 2016 Спасибо, поразмыслю на досуге.) Вставить ник Quote
NiTr0 Posted January 10, 2016 Posted January 10, 2016 В данный момент PPPoE. тогда чего accel-ppp демон вообще на arp как-либо реагирует? Вставить ник Quote
martini Posted January 10, 2016 Posted January 10, 2016 на корневом свиче или на домовых - запретите арп вообще )) и акселю станет полегче, и вы успокоитесь )) Вставить ник Quote
myth Posted January 11, 2016 Author Posted January 11, 2016 Средствами Eltex это возможно? Желательно, чтоб в Management VLAN arp ходили Вставить ник Quote
Negator Posted January 11, 2016 Posted January 11, 2016 на длинках точно можно запретить все кроме PPPoE. Мы так и сделали и уже давно в некоторых сегментах где все еще живет PPPoE Вставить ник Quote
Diamont Posted January 11, 2016 Posted January 11, 2016 IPoE чел строит Какой там нафиг IPoE? У чела Eltex, пусть радуется, что хоть РРРоЕ работает. Вставить ник Quote
Ivan_83 Posted January 11, 2016 Posted January 11, 2016 на длинках точно можно запретить все кроме PPPoE. Наивные :) Те два числа в поле type Ethernet пакета ничего не значат, вместо одного можно пустить арп, а вместо другого IP и на другом конце менять обратно. А можно просто на коммутаторах с qinq прописать код внешней метки под пппое... Вставить ник Quote
DRiVen Posted January 11, 2016 Posted January 11, 2016 Поскольку у ТС как раз ARP-флуд, на MES3124F включить ARP Inspection во всех вланах кроме управления, а там уж смотреть, запрещать по Ethertype сам IP или нет. Вставить ник Quote
eugenyb Posted January 12, 2016 Posted January 12, 2016 Вероятно какая то гадость хочет заразить соседей и перебирает соседние IP. Странно только что оно делает арп а не идёт через шлюз. Если хочется узнать что это - отдайте ему мак шлюза (проксиарп включить или статикой прописать соответствие) и заверните траф к себе, будет видно что оно хочет. Все верно. Это обычная вирусня, типа бот-нет клиента, которая попадает на машину из внешки, а потом распространяется по локальной сети на уязвимые машины. Причем это старые версии какой-то вирусни. Более новые сканили сеть не по порядку а рандомно, чтобы сложнее было обнаружить. Вставить ник Quote
Serejka Posted January 12, 2016 Posted January 12, 2016 А что не так с Eltex? У них своё видение опции 82, отличное от остального ширпотреб сегмента. Может быть что-то поменялось, но год назад и полгода назад там были известные проблемы с этим функционалом. П.С. EAPS на eltex тоже та ещё муть, проприетарная реализация проприетарного протокола от Extreme, которая с оригинальной проприетарщиной в принципе не работает. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.