Огромный АРП трафик!

[dj_7up]

Доброго дня.

 

у меня такая вот проблемка:

делаю допустим tcpdump -i rl2 > /var/dump.txt

за 30 секунд набегает 180Мб

 

если делать tcpdump -i rl2 arp

экран без перерыва забивается что-то типа:

23:02:01.162996 arp who-has 192.168.7.81 tell 192.168.7.162

23:02:01.163038 arp who-has 192.168.7.81 tell 192.168.7.162

23:02:01.163157 arp who-has 192.168.7.81 tell 192.168.7.162

23:02:01.163199 arp who-has 192.168.7.81 tell 192.168.7.162

23:02:01.163318 arp who-has 192.168.7.81 tell 192.168.7.162

23:02:01.163360 arp who-has 192.168.7.81 tell 192.168.7.162

23:02:01.163479 arp who-has 192.168.7.81 tell 192.168.7.162

23:02:01.163521 arp who-has 192.168.7.81 tell 192.168.7.162

и так в огромном колличестве

айпишники постоянно разные т.е. редко повторяются

 

мои предположения либо у какого-то свича слетела крыша либо кто-то балуется АРП атаками.

 

бегали выдергивали сегменты поочереди чтобы вычеслить источник проблемы, так ничего и не нашли

просто уже незнаю что и делать

продолжается 4ю неделю.

 

Кто сталкивался с такой прблемкой или кто, что может подсказать заранее благодарен.

[Barsick]

бегали выдергивали сегменты

Медленно бегаете, тренируйтесь... :)

Похоже на атаку

[Nic]

Может быть вирусы?

[dj_7up]

Могут ли управляемые коммутаторы защитить от подобных атак?

У нас в середине сегмента стоит один PLANET WGSD-1020

Может ли он помочь? Если да, то каким образом его лучше отстроить?

 

Что даст в таком случае статическая АРП таблица? Все адреса юзеров у анс привязаны к их МАКам....

 

P.S.

Бегать уже устали :) Слишком большое покрытие по городу :)

Так и не нашли :)

[2Garin]

100% Вирус у 192.168.7.162

[dj_7up]

100% Вирус у 192.168.7.162

Дык я ж выше писал что айпи постоянно разные....

[Nic]

Какие проблемы в том, чтобы отключить флудящие ip? Не могут же все компы в сети флудить... Очень похоже на червяков по-моему. В расшаренных на запись папках вирусы появляются?

ЗЫ. На свичах включить Broadcast shtorm control, должно чуть-чуть помочь.

ЗЫЫ. Если есть привязка mac-ip, то арп атаки не имеют смысла, имхо. Все равно свичи все левые пакеты будут дропать.

[Barsick]

один PLANET WGSD-1020  

Может ли он помочь?

У него есть ограничение процентной доли доли бродкастов

Поставь 5-10%

[GonZO]

вирусы или сниффер (например, icqsniff)

[flashwolf]

обычный arp-спуфинг

 

лечится быстрым беганием по сетке с отключением портов, локализацией конкретного порта, звонком в дверь, "с левой в челюсть и саблей от плеча до пояса"

уродов таких надо наказывать, и жестко

[UncleDen+Marino95]

М-м...если червирус, там перебор адреса дестинешна идёт в большинстве случаев. Если срывает башню у свитча - тогда море арпов от всех. Тут один и тот же запрос. Объясняется, думаю, следующим. На 7.81 поднят фтп-шник, в данный момент комп выключен. На 7.162 ХР-подобная винда пытается обновить (опросить) сохраненные в сетевом окружении ссылки на папки с фтп-шника 7.81. У нас полно такого говнища. Поубивал бы всех "открывателей".

[Z][ANSWER]

Да нет всё таки похоже на сканирование сети на маки!!!!

[LicIC]

Вообще-то это ОЧЕНЬ похоже на сглючивший свич.

У нас так было буквально недели 2 назад. Молния в дом попала (хоть дом и на оптике) ну и все свичи там сдохли а парочка вот тако вот флудила.

 

Для того чтобы по сети не бегать, надо ставить хоть на узлах управляемые свичи ;)

[kamuzon]

Идёт перебор IP-адресов или всё время на один и тот же ломится?

Есть ли дубли?

 

Если просто перебор по порядку или случайным образом, то это вирусы типа blaster или sasser соответственно.

Если запросы дублируются, то в добавок к вирусам есть свич, который не слышит соседей и повторяет пакеты, сгенерированные вирусами.

Каков уровень этого трафика? 20 килобайт в секунду или сколько? 400килобайт?

Может быть кто-то закольцевал сетку тебе и пакеты ходят кругами, пока не подохнут по таймаутам, но в таком случае фоновый трафик обычно зашкаливает.

[flashwolf]

а свитчи часом не DLink 8-портовые? ;)

[UncleDen+Marino95]

Для того чтобы по сети не бегать, надо ставить хоть на узлах управляемые свичи ;)

Ну это бабушка на двое вилами по воде... ибо когда начинается "шум" - управляемые свитчи в сети перестают откликаться на запросы. Самый лучший индикатор "шума" - как ни странно Cisco AiroNet. Еще все живы - она замолкает (но бридж при этом робит исправно).

[MaXToP]

Когда у нас в сети был такой шторм, "легло" все, и хабы, и управляемые свичи, и рутер на Пен 4 у которого ресурсов нехватало от пакетов отбиваться. Только циска каталист додумалась порт отключить где этот бардак был.

[Justas]

Банальный arp-спуфинг. Смотреть arpwatch`ем. Решение как правило - исключительно физическое устранение компьютера из сети, различные способы вычислить пионера-кулхацкера малоэффективны.

[metajamm]

Сильно смахивает на вирусную эпидемию, у нас несколько килобайт в секунду такого трафика это норма.

Такое бывает если 10-15 заразных компов в сети рандомно сканят айпишники на уязвимости. Эта беда - дело рук вируса ms-blast или его наследников.

Боротся с этой фигнёй мы уже давно устали. Свитчи наши от этого не падают.

Но если в середине врубить броад каст фильтр, то из-за этого трафика тутже начинают куски сети отваливатся.