[semop]

В том что это похожие вещи.

 

А так?

 

1(вкл)-2(выкл)-3(вкл)

 

2 - вообще лафа.

Работают стороны.

 

Так же с фильтрами: начало и конец.

 

Ну это при условии что на 2 в теории вообще не может случиться петля. 

Он просто «перемычка».

Так же и на доступе. Флуд придет снаружи - начало. И с порта абонента - конец. На агрегации оно не возникнет само.

 

Можно и на агрегациях конечно, но это точно неэффективно будет, я думаю. Легче размазать этот фильтр на всем доступе, чем этим будет заниматься одна из узловых железок.

[Ivan_83]

1. У вас по идее тцп трафик на роутере не разбирается, роутер выше ип не смотрит, ему не нужно. Тоже самое для л3 свичей.

Чтобы кто то начал смотреть в тцп для этого должны быть правила/фильтры ИЛИ трафик должен быть адресован управляющему интерфейсу самой железки.

Именно на это вам тут пытались указать.

 

2. л2/л3 свичу ваще пофик что литит через него, там есть ацл, туда можно забить правила, которые что то простое будут матчить по оффсетам и что то простое с этим делать.

В вашем случае похоже там или матчинг был плохой или стояло "слать алерт и пропускать" вместо ДРОП.

Многие свичи нынче имеют какой то красивый гуй, где типа можно по ип и прочему фильтровать, но по сути оно внутри также просто матчинг по оффсетам внутри пакета.

 

3. Флаги в тцп нужны зачастую, и так просто их вырезать нельзя, придётся пересобирать пакет, и это нифига не дёшего на цпу, а аппаратно - тоже конечно можно но не факт что кто то заморочился, могли свалить обработку на цпу, типа не частая ситуация и в брошюрке написать на оду фичу больше можно практически на халяву.

[k104x]

Где ddos и где бродкаст-шторма, мде.

semop, а именно от ddos вы как защищаетесь?

[VolanD666]

В 10.01.2020 в 23:14, semop сказал:

В том что это похожие вещи.

 

А так?

 

1(вкл)-2(выкл)-3(вкл)

 

2 - вообще лафа.

Работают стороны.

 

Так же с фильтрами: начало и конец.

 

Ну это при условии что на 2 в теории вообще не может случиться петля. 

Он просто «перемычка».

Так же и на доступе. Флуд придет снаружи - начало. И с порта абонента - конец. На агрегации оно не возникнет само.

 

Можно и на агрегациях конечно, но это точно неэффективно будет, я думаю. Легче размазать этот фильтр на всем доступе, чем этим будет заниматься одна из узловых железок.

Смотрите, как делать решать конечно же Вам. Но мне кажется вы не совсем понимаете процесс.  Как Вам уже писали, луп-детект и защита от ддос это в корне разные вещи. Тот же лупдетект вполне может делаться аппаратно (правда не уверен что на длинке это так), вы же представляете как он работает?

Ну допустим даже это делается процессором. Отправить один пакет и проверить его получение это в разы "дешевле" чем смотреть внутри ТЦП+ еще и собирать пакеты на стороне свича (как верно отметили выше). 

Вы пытаетесь на велосипеде перепахать поле. Свич доступа (даже если он Л3) не предполагает глубокую фильтрацию трафика, для этого есть DPI. Защиту от ддос еще можно понять в плане защиты CP самого свича, но опять же, у вас в принципе клиент не должен иметь доступ к CP свича.

На свиче доступа нужно фильтровать только то, что можно зафильтровать только на нем. Например, вы можете настроить шторм-контрол на свиче ядра, но только это не будет эффективно, т.к. все свичи ниже просто лягут от волны трафика. Поэтому такие вещи делают на свиче доступа. А вот защиту от ддос можно и нужно делать в ядре. Т.к. во первых для этого нужно специальное железо, во-вторых этим проще управлять когда это не размазано по сети, а находится в одном месте, в третьих какому-нить гуглу все равно где вы зарезали попытку атаки на его хост (в ядре или на доступе).

[alibek]

2 минуты назад, VolanD666 сказал:

А вот защиту от ддос можно и нужно делать в ядре.

Э... Защиту от DoS или DDoS лучше делать не в ядре, а на границе (бордере), а еще лучше за границей (у аплинка).

[VolanD666]

3 минуты назад, alibek сказал:

Э... Защиту от DoS или DDoS лучше делать не в ядре, а на границе (бордере), а еще лучше за границей (у аплинка).

А граница или бордер у вас где находится? :)

[alibek]

Логически это у нас разные устройства.

Физически это одно устройство в силу того, что масштаб сети у нас небольшой.

Будь сеть побольше, то и физически это были бы разные устройства.

[semop]

 

@VolanD666 То есть нужна крутая железяка для инпут, на входе.

Как я собственно и говорил. И вторая на аутпут. 

Если это одна и та же, то все в труху. Точнее на порядок ниже эффективность.

Снаружи да, закроете. А внутри - нет. Оно пролетит дальше до этой крутой железки и там умрет, по пути положив всю трассу.

 

Именно поэтому я и сравнил эту особенность с лупдэтэктом.

 

Не знаю почему вы прицепились к КП свича, это так очевидно же, что хорошая атака положит коммутатор чо бы там прописано не было. Какой доступ к контрол плане вообще. Это просто свичинг пакетиков может быть, от которых коммутатор сойдет сума.

Нафия это продолжать свичивать то, я не пойму, если можно зарубить прямо на порту клиента, пускай на велосипеде. Но на тысяче велосипедов которые уже стоят и пыхтят.

 

Я же с этого и начал. 100мбит ддоса свич не осиливает, но часть все равно отсекает. А если по пути еще и еще поотсекать.

Или все-таки скоммутировать этот ддос до бордера, которому придется выпиливать не 100мбит а 300 например. Чо та какой то не крутой совсем расклад.

[VolanD666]

19 минут назад, semop сказал:

 

@VolanD666 То есть нужна крутая железяка для инпут, на входе.

Как я собственно и говорил. И вторая на аутпут. 

Если это одна и та же, то все в труху. Точнее на порядок ниже эффективность.

Снаружи да, закроете. А внутри - нет. Оно пролетит дальше до этой крутой железки и там умрет, по пути положив всю трассу.

 

Именно поэтому я и сравнил эту особенность с лупдэтэктом.

 

Не знаю почему вы прицепились к КП свича, это так очевидно же, что хорошая атака положит коммутатор чо бы там прописано не было. Какой доступ к контрол плане вообще. Это просто свичинг пакетиков может быть, от которых коммутатор сойдет сума.

Нафия это продолжать свичивать то, я не пойму, если можно зарубить прямо на порту клиента, пускай на велосипеде. Но на тысяче велосипедов которые уже стоят и пыхтят.

 

Я же с этого и начал. 100мбит ддоса свич не осиливает, но часть все равно отсекает. А если по пути еще и еще поотсекать.

Или все-таки скоммутировать этот ддос до бордера, которому придется выпиливать не 100мбит а 300 например. Чо та какой то не крутой совсем расклад.

Так, давайте еще раз. Вы что хотите сделать? А то у вас все в куче. Вы хотите свою сеть защитить от ддоса? Или вы хотите хосты в мире защищать от ваших клиентов?

 

[semop]

Да.

 

В 13.01.2020 в 15:34, VolanD666 сказал:

Вы хотите свою сеть защитить от ддоса

у бордера

 

В 13.01.2020 в 15:34, VolanD666 сказал:

хосты в мире защищать от ваших клиентов

на доступе

 

Пока есть второе. У бордера надо крутую железяку. Либо средствами браса хотя бы.

[VolanD666]

59 минут назад, semop сказал:

Пока есть второе. 

Это вы сейчас про то что вы настроили на свичах доступа чтобы они внутрь пакетов смотрели? Если так, то вопрос. Что будет когда какой-нить клиент положит этот свит доступа по причине того, что ЦПУ свича не справится с обработкой ваших правил?

[semop]

Так он не кладет его) Серево дальше порта летит гораздо меньше. А не до пункта назначения по всем свичам.

Я ж сказал, выключить dos_pre то пожалуйста, вперед.

 

 

По крайней мере у длинка. 

Немного похоже на поведение HOL функционала, хоть там и не такой план, но все равно. Если траф покрашен, но его шибко дофига в очереди на коммутаторе с мелким буфером, то HOL это будет "фиксить", если можно так сказать. Но тоже недоконца. Если выключить HOL, то все что работало более менее сносно - станет жутко тормозить. Это кстати мне немного непонятно. Но это офтоп уже. Хотя как раз может у них одинаковая легенда обработки таких штук, у разработчиков этого железа в смысле.

 

Вопщем в принципе с dos_pre почти так же. Если его выключить, я положу свич. Если включить, то он пыхтит и не ложится.

[VolanD666]

56 минут назад, semop сказал:

 

Я ничсего не понимаю. Как вы его кладете и главное зачем?

[semop]

Так флудом этим. И что значит зачем. Если я могу, значит автоматически такая возможность есть у любого. Нафига это?

Именно за этим лабы и собирают вроде.

 

Ладно, проехали. Сам разберусь...

[dvb2000]

Начнём с простого и с базовых терминов. DDoS это распределённый DoS . Со скольких тысяч точек вы пробуете симулировать DDoS? Как вы синхронизируете и координируете эти точки? Если же ответ на  эти вопросы в стиле "Что, Что", иле же речь идёт о симуляции с одной точки, то не о каком DDoS е тут нет и речи.

Теперь про то на что направлен DDoS или даже DoS. Он направлен на какой либо сервис. Например на HTTP, FTP, и т.д. В случае же ваших коммутаторов, как уже много раз тут было сказано, в сторону клиентов не должно быть ни каких сервисов. Даже если речь идёт об L3 коммутаторах, то и по ICMP они не обязаны отвечать пользователям, так что там не за что вообще зацепиться для DoS.

 

[semop]

@dvb2000 я понимаю. И даже не спорю с этим)

 

Я сначала написал много. Потом все стер. Вопщем я закончил лабу)

 

ПС:

Это транзитный свич* в схеме : хост(хакер) - свич - свич* - свич - хост(ноут)

 

Тут не сотка, потому что инерция мониторинга 1мин. На самом деле по консоли процессор скакал и до 90%. ЦПУ занят был просто свичингом этого несчастного флуда, который да, как тут много раз говорили вообще не связан ни с одним сервисом у абонентов. Хотя я вообще ждал что он по управлению отвалится, а он ок, попукивал но работал. 

 

Что же имел ноут в лабе, который "не имел" никаких сервисов с коммутатором? Так всё. Джиттер, потери пакетов, я даже мультикаст на него завернул чтоб тв рассыпалось, все было))

 

В лабе два хоста можно сказать, если не считать роутер, который я использовал для доступа наружу, потому что не хотелось это дело вываливать в реальную сеть. Дальше можно да, по настоящему, распределенно..хакеров 20 воткнуть. Но зачем. Я же знаю что будет)

 

Ну и самое главное. Выше график цпу под нагрузкой 50-55мбит итого более чем за неделю и (самый сок) хакерское направление: и туда, и обратно =)

Такой же коммутатор, но забитый 24 портами со среднестатистической нагрузкой 150мбит коммутирует на 45% цпу.

Представьте, что транзитный свич это агрегация. Я тогда еще раз спрошу, а точно ли достаточно это закрывать только у бордера?

 

Конфиг свича скидывать?

Не знаю только зачем. Там три влана: ноут, хакер и управление. Лупбэки, шторм контрол, кос для игмп включено.

 

ПС2: в начале недели пришла забавная мысль, мол что будет, если бы это была не звезда, а кольцо. И там включить STP......

[sdy_moscow]

@semop

Дружище, успокойтесь, Вы все-же пишите на форум профессионалов, а не блондинок домохозяек. Следует подумать, прежде чем постить здесь всякую "чушь".

 

Простите, но кто Вас учил делать "лабы"?

Любая! лабораторная работа начинается с

1. Постановки задачи (Цели эксперимента).

2. Описания используемых приборов и инструментов, их характеристик.

3. Описания установки.

В основной части содержит описание и методику проводимых экспериментов, методику измерений, наблюдаемые вами явления и значения промежуточных результатов, сравнение их с теоретическими расчетами.

И заканчивается лабораторная работа выводами.

 

Судя по содержанию Ваших постов, Вы делали не лабу, а "полет моей фантазии" с трансляцией потока Ваших мыслей. Кроме схемы Комп1-Свитч1-Свитч2-Свитч3-Комп2 Вы ничего не описываете.

Пока в Вашем топе не появятся модели оборудования, его настройки и dumpы трафика комментировать и вступать с Вами в дискуссию будут только местные тролли.

 

Спасибо за понимание.

[sdy_moscow]

@semop 

З.Ы. И еще.

Вы не задумывались, что ваши предположения и последовавшие выводы могут быть изначально неверные, из-за плохой "чистоты эксперимента"?

Что рост цпу юзэдж может быть связан вовсе не со "свитчиванием трафика", а банальными дропами в трафике управления из-за Вашей "ддос" и необходимостью повторной передачи в тсп сессии?

Или, например, необходимостью записи событий в лог на слабом ЦПУ?

[VolanD666]

1 час назад, sdy_moscow сказал:

З.Ы. И еще.

Вы не задумывались, что ваши предположения и последовавшие выводы могут быть изначально неверные, из-за плохой "чистоты эксперимента"?

Что рост цпу юзэдж может быть связан вовсе не со "свитчиванием трафика", а банальными дропами в трафике управления из-за Вашей "ддос" и необходимостью повторной передачи в тсп сессии?

Да какой ддос то? Я может тупой и ничего не понимаю, но на свиче не должно быть никакого ддоса. Задача инженера защитить его от различного вида штормов и все.

Я попробую сванговать, мне кажется свич валится как раз из-за того что ТС включил всякие "защиты" которые заставлять свич лезть глубоко в пакет. Дык может их выключить просто?

[sdy_moscow]

@VolanD666

Проблема в том, что мне лично вообще непонятно, что хотел сделать @semop и на что он жалуется.

 

Он сгенерировал чем-то? какой-то? tcp флуд, отправил его в какие-то? свитчи D-Link, увидел в их логах сообщения об обнаружении Blat attack, описание которой в документации сводиться к

Цитата

Blat Attack: This type of attack will send packets with the TCP/UDP source port equal to the destination port of the target device. It may cause the target device to respond to itself.

 

И почему-то сделал выводы :

 

1. Что, так как его коммутаторы (возможно совершенно разных моделей) выводят сообщения о, повторюсь, не очень понятной  Blat Attack, то они пропустили какой-то? трафик который они, по его предположению, должны фильтровать, хотя об этом нигде толком ничего не сказано.

 

2. Что высокий ЦПУ юзедж на его непонятно каком? свитче с непонятно какими? настройками с доступом к нему непонятно откуда и как? связан, по его мнению, с тем, что при включенных в настройках коммутатора опциях защиты от атак, обработка всех пакетов производится на ЦПУ коммутатора!

 

3. Что наблюдаемые им явления имеют место на всех моделях коммутаторов, ну или как минимум на всех моделях коммутаторов Д-Линк.

 

З.Ы.

Это просто бред какой-то!

 

[semop]

Свичи длинк. DES 3028 и DES 3200-28. Это почти не принципиально, потому что на DGS то же самое. Что было под рукой то и взял.

Я это начал ковырять, потому что стало интересно что свич считает дос атакой и что вообще происходит в это время. В документации мало информации, это я тоже писал.

Я даже согласен что тест был не до конца качественный, а может вообще неправильный)

Хотя даже этого хватило чтоб нагрузить свич по процессору и повалять другой хост в рамках среднестатистического конфига коммутатора доступа.

 

 

В 17.01.2020 в 17:53, VolanD666 сказал:

Я попробую сванговать, мне кажется свич валится как раз из-за того что ТС включил всякие "защиты" которые заставлять свич лезть глубоко в пакет. Дык может их выключить просто?

Он поднимает ЦПУ без защит)

Включаешь - все в порядке и у свича и у ноутбука. 

 

Смысл лабы был просто посмотреть что произойдет, если ничего не делать. 

 

Вот например часть вариантов неверной комбинации флагов, которые свич считает tcp_sinfin атакой:

 

Хуавэйный конфиг (у длинка это не расписано, там просто conf dos tcp_sinfin enable):

 

rule 0 deny tcp ack 1 fin 1 psh 1 rst 1 syn 1 urg 1
rule 1 deny tcp rst 1 syn 1 fin 1
rule 2 deny tcp rst 1 syn 1 fin 1 ack 1
rule 3 deny tcp syn 1 fin 1
rule 4 deny tcp syn 1 fin 1 ack 1
rule 5 deny tcp syn 1 rst 1

 

Выкинем коммутаторный CP. Пес с ним, пускай работает.

Атака хост - хост. Внутри описанной выше схемы.

Без этих правил атакующий кладет другой хост, поднимает цпу свича. Если это передача данных - то внутри. Если интернет, то петелькой через роутер. В сам интернет наружу оно не вылезает, это и не обязательно. А например вы защищаетесь у бордера. Это 50%.

 

=======

Конфиг не жалко, просто там ничего умного нет.

 

Схема ПД:

1 порт (101 влан) - ноутбук. 

101 влан (внутри него и устраивался "дос") - проключен до 3 свича (настройки аналогичные)

2 свич - тоже самое, просто 101 в транке на двух портах.

1999 управление, включен мультикаст, лупдетект, трафик-контрол.

Свич ни на что не ругался, кроме доса, который вообще не для него предназначался.

 

Получилась схема из 3 свичей, между которыми брошен 101 влан. (ноут и хакер)

Хакер может атаковать ноут без проблем при выклюенном dos_pre (в конфиге он включен).

 

Вторая часть лабы была в переключении обоих на интернет. Добавился второй влан 102 для хакера.

Ноут 101, хакер 102. К транзитному свичу подключен роутер (сабинтерфейсы 101 и 102). Оба хоста в интернете. 

Хакер может атаковать ноут без проблем. Но уже через роутер, что естественно. Просто сам факт что может.

 

Про хакера писать? У ноута не открывался tcp, когда хакер отвечал неверными флагами на SYN ноутбука. И получилась гора неоткрытых tcp на время таймаута.

Свич пишет в логах SYN_FIN атака, а ноут в это время пингует свой интернет с жуткими потерями. У blat другие флаги.

В хакеризме не силен, это самое простое что смог изобразить в качестве доса, поэтому можно наверно посмеяться на такой вариант)

Зато работает.

 

Конфиг свича, к которому подключен ноут (хакерский свич настроен аналогично):

Все простецко.

 

          
              DES-3028 Fast Ethernet Switch Command Line Interface

                            Firmware: Build 2.94.B04
           Copyright(C) 2008 D-Link Corporation. All rights reserved.
UserName:admin
PassWord:*****

DES-3028:5#sh conf cur
Command: show config current_config

#-------------------------------------------------------------------
#                       DES-3028 Configuration
#
#                       Firmware: Build 2.94.B04
#        Copyright(C) 2008 D-Link Corporation. All rights reserved.
#-------------------------------------------------------------------

# BASIC

 

config serial_port baud_rate 9600 auto_logout 10_minutes

# ACCOUNT LIST

 

create account admin admin
admin
admin

 

# ACCOUNT END
                                                                               
# PASSWORD ENCRYPTION

disable password encryption 
config terminal_line default
enable clipaging
disable command logging
enable password_recovery

 

# STORM

 

config traffic trap both
config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 64 countdown 0 time_interval 5
config traffic control 25-28 broadcast disable multicast disable unicast disable action drop threshold 64 countdown 0 time_interval 5

 

# LOOP_DETECT

 

enable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24 state enabled                                      
config loopdetect port 25-28 state disabled

 

# QOS

 

config scheduling_mechanism strict
config scheduling 0 weight 1 
config scheduling 1 weight 2 
config scheduling 2 weight 4 
config scheduling 3 weight 8 
config 802.1p user_priority 0 1
config 802.1p user_priority 1 0
config 802.1p user_priority 2 0
config 802.1p user_priority 3 1
config 802.1p user_priority 4 2
config 802.1p user_priority 5 2
config 802.1p user_priority 6 3
config 802.1p user_priority 7 3
config cos tos value 0 class 0
config cos tos value 1 class 0
config cos tos value 2 class 0
config cos tos value 3 class 0
config cos tos value 4 class 0                                                 
config cos tos value 5 class 0
config cos tos value 6 class 0
config cos tos value 7 class 0
config dscp_mapping dscp_value 0 class 0
config dscp_mapping dscp_value 1 class 0
config dscp_mapping dscp_value 2 class 0
config dscp_mapping dscp_value 3 class 0
config dscp_mapping dscp_value 4 class 0
config dscp_mapping dscp_value 5 class 0
config dscp_mapping dscp_value 6 class 0
config dscp_mapping dscp_value 7 class 0
config dscp_mapping dscp_value 8 class 0
config dscp_mapping dscp_value 9 class 0
config dscp_mapping dscp_value 10 class 0
config dscp_mapping dscp_value 11 class 0
config dscp_mapping dscp_value 12 class 0
config dscp_mapping dscp_value 13 class 0
config dscp_mapping dscp_value 14 class 0
config dscp_mapping dscp_value 15 class 0
config dscp_mapping dscp_value 16 class 0
config dscp_mapping dscp_value 17 class 0
config dscp_mapping dscp_value 18 class 0                                      
config dscp_mapping dscp_value 19 class 0
config dscp_mapping dscp_value 20 class 0
config dscp_mapping dscp_value 21 class 0
config dscp_mapping dscp_value 22 class 0
config dscp_mapping dscp_value 23 class 0
config dscp_mapping dscp_value 24 class 0
config dscp_mapping dscp_value 25 class 0
config dscp_mapping dscp_value 26 class 0
config dscp_mapping dscp_value 27 class 0
config dscp_mapping dscp_value 28 class 0
config dscp_mapping dscp_value 29 class 0
config dscp_mapping dscp_value 30 class 0
config dscp_mapping dscp_value 31 class 0
config dscp_mapping dscp_value 32 class 0
config dscp_mapping dscp_value 33 class 0
config dscp_mapping dscp_value 34 class 0
config dscp_mapping dscp_value 35 class 0
config dscp_mapping dscp_value 36 class 0
config dscp_mapping dscp_value 37 class 0
config dscp_mapping dscp_value 38 class 0
config dscp_mapping dscp_value 39 class 0
config dscp_mapping dscp_value 40 class 0                                      
config dscp_mapping dscp_value 41 class 0
config dscp_mapping dscp_value 42 class 0
config dscp_mapping dscp_value 43 class 0
config dscp_mapping dscp_value 44 class 0
config dscp_mapping dscp_value 45 class 0
config dscp_mapping dscp_value 46 class 0
config dscp_mapping dscp_value 47 class 0
config dscp_mapping dscp_value 48 class 0
config dscp_mapping dscp_value 49 class 0
config dscp_mapping dscp_value 50 class 0
config dscp_mapping dscp_value 51 class 0
config dscp_mapping dscp_value 52 class 0
config dscp_mapping dscp_value 53 class 0
config dscp_mapping dscp_value 54 class 0
config dscp_mapping dscp_value 55 class 0
config dscp_mapping dscp_value 56 class 0
config dscp_mapping dscp_value 57 class 0
config dscp_mapping dscp_value 58 class 0
config dscp_mapping dscp_value 59 class 0
config dscp_mapping dscp_value 60 class 0
config dscp_mapping dscp_value 61 class 0
config dscp_mapping dscp_value 62 class 0                                      
config dscp_mapping dscp_value 63 class 0
config 802.1p default_priority 1-28 0
config cos mapping port 1-24  ethernet 802.1p  
config cos mapping port 25-28 port_mapping ethernet 802.1p ip dscp 

 

# MIRROR

 

disable mirror
config mirror port 1 delete source ports 1 both

 

# BANDWIDTH

 

config bandwidth_control 1-28 rx_rate no_limit tx_rate no_limit

 

# SYSLOG

 

disable syslog
config log_save_timing on_demand

 

# TRAF-SEGMENTATION

 

config traffic_segmentation 1-28 forward_list 1-28  

                          

# PACKET_FROM_CPU

 

config mgmt_pkt_priority default

 

# SSL

 

disable ssl 
enable ssl ciphersuite RSA_with_RC4_128_MD5 
enable ssl ciphersuite RSA_with_3DES_EDE_CBC_SHA 
enable ssl ciphersuite DHE_DSS_with_3DES_EDE_CBC_SHA 
enable ssl ciphersuite RSA_EXPORT_with_RC4_40_MD5 
config ssl cachetimeout 600 

 

# PORT

 

config ports 1-28 speed auto flow_control disable state enable clear_description
config ports 1-28 learning enable
config ports 1-28 mdix auto
config ports 25-26 medium_type fiber speed auto flow_control disable state enable clear_description
config ports 25-26 medium_type fiber learning enable        

                  

# OAM

# DDM

config ddm trap disable
config ddm log enable
config ddm ports 25-26 state enable shutdown none

 

# TIME_RANGE

# GM

config sim candidate
disable sim
config sim dp_interval 30
config sim hold_time 100

 

# MANAGEMENT

                                                                  

enable snmp traps 
enable snmp authenticate traps 
enable snmp linkchange_traps
config snmp linkchange_traps ports all enable
config snmp coldstart_traps enable
config snmp warmstart_traps enable
disable rmon 

 

# SNMPv3

 

delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
delete snmp view restricted all
delete snmp view CommunityView all
delete snmp group public
delete snmp group private
delete snmp group ReadGroup
delete snmp group WriteGroup
config snmp engineID 800000ab031caff77d6443                                    
create snmp view restricted 1.3.6.1.2.1.1 view_type included
create snmp view restricted 1.3.6.1.2.1.11 view_type included
create snmp view restricted 1.3.6.1.6.3.10.2.1 view_type included
create snmp view restricted 1.3.6.1.6.3.11.2.1 view_type included
create snmp view restricted 1.3.6.1.6.3.15.1.1 view_type included
create snmp view CommunityView 1 view_type included
create snmp view CommunityView 1.3.6.1.6.3 view_type excluded
create snmp view CommunityView 1.3.6.1.6.3.1 view_type included
create snmp group public v1 read_view CommunityView notify_view CommunityView 
create snmp group public v2c read_view CommunityView notify_view CommunityView 
create snmp group initial v3  noauth_nopriv read_view restricted notify_view restricted 
create snmp group private v1 read_view CommunityView write_view CommunityView notify_view CommunityView 
create snmp group private v2c read_view CommunityView write_view CommunityView notify_view CommunityView 
create snmp group ReadGroup v1 read_view CommunityView notify_view CommunityView 
create snmp group ReadGroup v2c read_view CommunityView notify_view CommunityView 
create snmp group WriteGroup v1 read_view CommunityView write_view CommunityView notify_view CommunityView 
create snmp group WriteGroup v2c read_view CommunityView write_view CommunityView notify_view CommunityView 
create snmp community private view CommunityView read_write
create snmp community public view CommunityView read_only
create snmp user initial initial 

 

# DEBUG_HANDLER

 

debug config error_reboot enable

 

# VLAN

 

disable asymmetric_vlan
disable qinq
config vlan default delete 1-28
config vlan default advertisement disable
create vlan 101 tag 101
config vlan 101 add tagged 25-28
config vlan 101 add untagged 1
create vlan 1999 tag 1999
config vlan 1999 add tagged 25-28
disable gvrp
config gvrp 1 state disable ingress_checking enable acceptable_frame admit_all pvid 101
config gvrp 2-28 state disable ingress_checking enable acceptable_frame admit_all pvid 1

 

# 8021X

 

disable 802.1x
config 802.1x auth_protocol radius_eap
config radius parameter timeout 5 retransmit 2
config 802.1x capability ports 1-28 none
config 802.1x auth_parameter ports 1-28 direction both port_control auto quiet_period 60 tx_period 30 supp_timeout 30 server_timeout 30 max_req 2 reauth_period 3600 enable_reauth disable

 

# PORT_LOCK

 

disable port_security trap_log
config port_security ports 1-28 admin_state disable max_learning_addr 1 lock_address_mode DeleteOnTimeout

 

# PPPOE

 

config pppoe circuit_id_insertion state disable
config pppoe circuit_id_insertion ports 1-28 state enable circuit_id ip

 

# DhcpSS

 

config filter dhcp_server ports 1-28 state disable
config filter dhcp_server trap_log disable
config filter dhcp_server illegal_server_log_suppress_duration 5min

 

# MAC_ADDRESS_TABLE_NOTIFICATION
                                                                               
config mac_notification interval 1 historysize 1
disable mac_notification
config mac_notification ports 1-28 disable

 

# STP

 

disable stp
config stp version rstp
config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60
config stp priority 32768 instance_id 0 
config stp mst_config_id name 00:1E:58:48:8D:CB revision_level 0
config stp trap new_root enable topo_change enable 
config stp ports 1-28 externalCost auto edge false p2p auto state enable lbd disable
config stp mst_ports 1-28 instance_id 0 internalCost auto priority 128
config stp ports 1-28 fbpdu enable
config stp ports 1-28 restricted_role false
config stp ports 1-28 restricted_tcn false

 

# MULTI FILTER
                                                                               
config control_pkt ipv4 igmp replace priority none dscp none
config control_pkt ipv4 vrrp replace priority none dscp none
config control_pkt ipv4 rip replace priority none dscp none
config control_pkt ipv4 pim replace priority none dscp none
config control_pkt ipv4 dvmrp replace priority none dscp none
config control_pkt ipv4 ospf replace priority none dscp none
config control_pkt ipv6 mld replace priority none dscp none
config control_pkt ipv6 nd replace priority none dscp none
config max_mcast_group port 1-28 max_group 256

 

# BPDU_PROTECTION

 

config bpdu_protection ports 1-28 mode shutdown

 

# SAFEGUARD_ENGINE

 

config safeguard_engine state disable utilization rising 30 falling 20 trap_log disable mode fuzzy

 

# BANNER_PROMP

 

config command_prompt default                                                  
config greeting_message default

 

# SSH

 

config ssh algorithm 3DES enable
config ssh algorithm AES128 enable
config ssh algorithm AES192 enable
config ssh algorithm AES256 enable
config ssh algorithm arcfour enable
config ssh algorithm blowfish enable
config ssh algorithm cast128 enable
config ssh algorithm twofish128 enable
config ssh algorithm twofish192 enable
config ssh algorithm twofish256 enable
config ssh algorithm MD5 enable
config ssh algorithm SHA1 enable
config ssh algorithm RSA enable
config ssh algorithm DSA enable
config ssh authmode password enable
config ssh authmode publickey enable
config ssh authmode hostbased enable
config ssh server maxsession 8                                                 
config ssh server contimeout 120
config ssh server authfail 2
config ssh server rekey never
config ssh user root authmode password
config ssh user techsup authmode password
disable ssh

 

# SNOOP

 

enable igmp_snooping
config igmp_snooping data_driven_learning max_learned_entry 128
enable igmp_snooping multicast_vlan
create igmp_snooping multicast_vlan v100 100
config igmp_snooping multicast_vlan v100 state enable 
config igmp_snooping multicast_vlan v100 replace_source_ip 10.11.106.1
config igmp_snooping multicast_vlan v100 add member_port 1
config igmp_snooping multicast_vlan v100 add tag_member_port 26-28
config igmp_snooping multicast_vlan v100 add source_port 25
config igmp_snooping vlan_name default host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable 
config igmp_snooping data_driven_learning vlan_name default aged_out disable 
config igmp_snooping data_driven_learning vlan_name default state enable 
config igmp_snooping querier all query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable
config igmp_snooping vlan_name v100 host_timeout 260 router_timeout 260 leave_timer 2 fast_leave enable
config igmp_snooping data_driven_learning vlan_name v100 aged_out enable 
config igmp_snooping data_driven_learning vlan_name v100 state enable 
config igmp_snooping vlan_name 101 host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable
config igmp_snooping data_driven_learning vlan_name 101 aged_out disable 
config igmp_snooping data_driven_learning vlan_name 101 state enable 
config igmp_snooping vlan_name 1999 host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable
config igmp_snooping data_driven_learning vlan_name 1999 aged_out disable 
config igmp_snooping data_driven_learning vlan_name 1999 state disable 
config igmp access_authentication port 1-28 state disable
config cpu_filter l3_control_pkt 1-28 all state disable

 

# FDB

 

config fdb aging_time 300         
config multicast port_filtering_mode 1 filter_unregistered_groups                                             
config multicast port_filtering_mode 2-28 forward_unregistered_groups
disable flood_fdb
config flood_fdb log disable trap disable

 

# VLAN_TRUNK

 

disable vlan_trunk

 

# SMTP

 

disable smtp

 

# ACL

 

create access_profile  ip  destination_ip 255.255.0.0     dscp  profile_id 4
config access_profile profile_id 4  add access_id 1  ip  destination_ip 239.195.0.0      port 1-28 permit priority 5 rx_rate no_limit 
disable cpu_interface_filtering  

                                             

# SNTP

 

disable sntp
config time_zone operator - hour 6 min 0
config sntp primary 0.0.0.0 secondary 0.0.0.0 poll-interval 720
config dst disable

 

# DOS_PREVENTION

 

enable dos_prevention trap_log 
config dos_prevention dos_type land_attack action drop state enable 
config dos_prevention dos_type blat_attack action drop state enable 
config dos_prevention dos_type smurf_attack action drop state enable 
config dos_prevention dos_type tcp_null_scan action drop state enable 
config dos_prevention dos_type tcp_xmascan action drop state enable 
config dos_prevention dos_type tcp_synfin action drop state enable 
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable 

 

# LACP    

                                                                    

config lacp_port 1-28 mode passive
config link_aggregation algorithm mac_source

 

# ERPS

 

config erps log disable
disable erps

 

# ADDRBIND

 

disable address_binding dhcp_snoop
disable address_binding trap_log
config address_binding ip_mac ports 1-28 state disable allow_zeroip disable forward_dhcppkt enable
config address_binding ip_mac ports 1-28 mode arp stop_learning_threshold 500
config address_binding dhcp_snoop max_entry ports 1-28 limit 5

 

# ARPSPOOF

# IP  

                                                                        

config ipif System vlan 1999 ipaddress 10.11.106.1/24 state enable
config ipif System dhcp_option12 state disable
enable telnet 23
enable web 80
disable autoconfig

 

# LLDP

 

disable lldp
config lldp message_tx_interval 30
config lldp tx_delay 2
config lldp message_tx_hold_multiplier 4
config lldp reinit_delay 2
config lldp notification_interval 5                                            
config lldp ports 1-28 notification disable
config lldp ports 1-28 admin_status tx_and_rx

 

# MLDSNP

 

disable mld_snooping

 

# ARP

 

config arp_aging time 20
config gratuitous_arp send ipif_status_up enable
config gratuitous_arp send dup_ip_detected enable
config gratuitous_arp learning enable

 

# AAA

 

config authen_login default method local
config authen_enable default method  local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default                                   
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 30
config authen parameter attempt 3
disable authen_policy
config admin local_enable

# DHCP_RELAY

 

disable dhcp_relay
config dhcp_relay hops 4 time 0 
config dhcp_relay option_82 state disable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default

 

# DHCP_LOCAL_RELAY
                                                                               
disable dhcp_local_relay
config dhcp_local_relay option_82 ports 1-28 policy keep

 

# FIRM

 

config configuration trap save disable upload disable download disable 

 

# ROUTE

 

create iproute default 10.11.106.254 1

 

#-------------------------------------------------------------------
#             End of configuration file for DES-3028
#------------------------------------------------------------------

DES-3028:5#

 

 

А еще например ping_death атаку коммутатор считает, когда пингуешь его самого от 1500 байт. Стало непонятно, потому что остальные "защиты" защищают не только сам свич, о чем собственно вы и говорите задавая вопросы про его СР и сервисы связанные с абонентом, что логично. А их нет) Ну если снупинг не считать. Так оно и без снупинга хакерится хорошо. А при ping_death это распространяется только на коммутатор. Т.е. после включения я перестаю пинговать свич по управлению на 1500 байт, а хосты между собой пингуются. 

 

[VolanD666]

Ну вы же понимаете что так быть не должно? Что сквозной трафик не должен грузить ЦПУ свича и если грузит (и этол нормальное его поведение) то зачем такой свич?

[semop]

Да. 

Зато когда включаю фильтрацию - становится в допусках и ЦПУ и сервисы, которые коммутатор коммутирует.

Без фильтрации пускай нам будет наплевать на CP свича, или он даже не напрягается от этого. Ладно. А как же абонентские сервисы?

Абонент в другой части города помирает от флуда другого абонента из другой части города, если у него запустить эту шнягу.

 

Цель была не столько защитить оборудование, сколько зафильтровать это в любую сторону для абонентов.

 

По итогам лабы у меня получился ACL для любого роутера, который умеет ACL'ы. Хоть цыска, хоть хуавэй, хоть чего. Но я согласен что он неполный.

Хотя это же лучше чем ничего. Можно поставить и на доступе и около бордера, потому что как мы знаем флудить можно и без интернета.

 

Вот у вас например не стоит.

Получается я могу таким же образом нагрузить обратный канал любого вашего абонента скушав его тарифный план, находясь в вашей сети.

И пограничная ддос фильтрация у бордера вам не поможет, потому что дальше шлюза локальному хакеру идти и не надо) точнее он там и не пойдет. А бывает такое что у людей на сети один влан на весь доступ. Тогда вообще приехали, и шлюз то не нужен особо.

Это же сверхзаблуждение, что этот дос может придти только снаружи. Я вот про что.

 

[VolanD666]

Ну дык, а зачем у вас клиенты друг к другу ходят? Может искать решение чтобы клиенты в принципе друг к другу не ходили? Клиенты с белыми адресами сами подписались на различного рода воздействия извне. Зачем вы в трафик вмешиваетесь то? В любом случае, такие вещи не делаются на акцессе.

[dvb2000]

20 hours ago, semop said:

Свичи длинк. DES 3028 и DES 3200-28. Это почти не принципиально, потому что на DGS то же самое. Что было под рукой то и взял.

Я это начал ковырять, потому что стало интересно что свич считает дос атакой и что вообще происходит в это время. В документации мало информации, это я тоже писал.

 

А еще например ping_death атаку коммутатор считает, когда пингуешь его самого от 1500 байт. Стало непонятно, потому что остальные "защиты" защищают не только сам свич, о чем собственно вы и говорите задавая вопросы про его СР и сервисы связанные с абонентом, что логично. А их нет) Ну если снупинг не считать. Так оно и без снупинга хакерится хорошо. А при ping_death это распространяется только на коммутатор. Т.е. после включения я перестаю пинговать свич по управлению на 1500 байт, а хосты между собой пингуются. 

 

Что это же за некрофилия такая. Тот-же  DES 3028 , это ж L2 коммутатор что использовался ещё аж в 2006 году, а в 2012 году длинк доступно разъяснили, что теперь он идёт на свалку, словами дилинк это называется: phased out. Про DES 3200 даже и говорить нечего. Действительно очень странно что пятнадцати летней давности хлам тормозит если над ним издеваться и грузить его невесть чем, при этом включив на нём все его свистелки и гуделки, и ещё удивляется что весь пар в гудок уходит. Ну тогда можно уже не мелочиться и выкопать например несколько MAUs, собрать из них один большой token ring , нагрузить это всё и потом удивляться что это ж как оно медленно работает. 

 

Кроме того, какой такой: ping_death ? Это же L2 коммутатор, на нём со стороны пользователей нет ничего что можно было бы в принципе попинговать, на нём даже ни на одном из VLANs кроме как на management VLAN , который недоступен со стороны пользователей, нет вообще не только L3 сервисов, но и даже адреса IP как такового.