semop Опубликовано 10 января, 2020 · Жалоба В том что это похожие вещи. А так? 1(вкл)-2(выкл)-3(вкл) 2 - вообще лафа. Работают стороны. Так же с фильтрами: начало и конец. Ну это при условии что на 2 в теории вообще не может случиться петля. Он просто «перемычка». Так же и на доступе. Флуд придет снаружи - начало. И с порта абонента - конец. На агрегации оно не возникнет само. Можно и на агрегациях конечно, но это точно неэффективно будет, я думаю. Легче размазать этот фильтр на всем доступе, чем этим будет заниматься одна из узловых железок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2020 · Жалоба 1. У вас по идее тцп трафик на роутере не разбирается, роутер выше ип не смотрит, ему не нужно. Тоже самое для л3 свичей. Чтобы кто то начал смотреть в тцп для этого должны быть правила/фильтры ИЛИ трафик должен быть адресован управляющему интерфейсу самой железки. Именно на это вам тут пытались указать. 2. л2/л3 свичу ваще пофик что литит через него, там есть ацл, туда можно забить правила, которые что то простое будут матчить по оффсетам и что то простое с этим делать. В вашем случае похоже там или матчинг был плохой или стояло "слать алерт и пропускать" вместо ДРОП. Многие свичи нынче имеют какой то красивый гуй, где типа можно по ип и прочему фильтровать, но по сути оно внутри также просто матчинг по оффсетам внутри пакета. 3. Флаги в тцп нужны зачастую, и так просто их вырезать нельзя, придётся пересобирать пакет, и это нифига не дёшего на цпу, а аппаратно - тоже конечно можно но не факт что кто то заморочился, могли свалить обработку на цпу, типа не частая ситуация и в брошюрке написать на оду фичу больше можно практически на халяву. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
k104x Опубликовано 11 января, 2020 · Жалоба Где ddos и где бродкаст-шторма, мде. semop, а именно от ddos вы как защищаетесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 января, 2020 · Жалоба В 10.01.2020 в 23:14, semop сказал: В том что это похожие вещи. А так? 1(вкл)-2(выкл)-3(вкл) 2 - вообще лафа. Работают стороны. Так же с фильтрами: начало и конец. Ну это при условии что на 2 в теории вообще не может случиться петля. Он просто «перемычка». Так же и на доступе. Флуд придет снаружи - начало. И с порта абонента - конец. На агрегации оно не возникнет само. Можно и на агрегациях конечно, но это точно неэффективно будет, я думаю. Легче размазать этот фильтр на всем доступе, чем этим будет заниматься одна из узловых железок. Смотрите, как делать решать конечно же Вам. Но мне кажется вы не совсем понимаете процесс. Как Вам уже писали, луп-детект и защита от ддос это в корне разные вещи. Тот же лупдетект вполне может делаться аппаратно (правда не уверен что на длинке это так), вы же представляете как он работает? Ну допустим даже это делается процессором. Отправить один пакет и проверить его получение это в разы "дешевле" чем смотреть внутри ТЦП+ еще и собирать пакеты на стороне свича (как верно отметили выше). Вы пытаетесь на велосипеде перепахать поле. Свич доступа (даже если он Л3) не предполагает глубокую фильтрацию трафика, для этого есть DPI. Защиту от ддос еще можно понять в плане защиты CP самого свича, но опять же, у вас в принципе клиент не должен иметь доступ к CP свича. На свиче доступа нужно фильтровать только то, что можно зафильтровать только на нем. Например, вы можете настроить шторм-контрол на свиче ядра, но только это не будет эффективно, т.к. все свичи ниже просто лягут от волны трафика. Поэтому такие вещи делают на свиче доступа. А вот защиту от ддос можно и нужно делать в ядре. Т.к. во первых для этого нужно специальное железо, во-вторых этим проще управлять когда это не размазано по сети, а находится в одном месте, в третьих какому-нить гуглу все равно где вы зарезали попытку атаки на его хост (в ядре или на доступе). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 января, 2020 · Жалоба 2 минуты назад, VolanD666 сказал: А вот защиту от ддос можно и нужно делать в ядре. Э... Защиту от DoS или DDoS лучше делать не в ядре, а на границе (бордере), а еще лучше за границей (у аплинка). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 января, 2020 · Жалоба 3 минуты назад, alibek сказал: Э... Защиту от DoS или DDoS лучше делать не в ядре, а на границе (бордере), а еще лучше за границей (у аплинка). А граница или бордер у вас где находится? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 января, 2020 · Жалоба Логически это у нас разные устройства. Физически это одно устройство в силу того, что масштаб сети у нас небольшой. Будь сеть побольше, то и физически это были бы разные устройства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 13 января, 2020 · Жалоба @VolanD666 То есть нужна крутая железяка для инпут, на входе. Как я собственно и говорил. И вторая на аутпут. Если это одна и та же, то все в труху. Точнее на порядок ниже эффективность. Снаружи да, закроете. А внутри - нет. Оно пролетит дальше до этой крутой железки и там умрет, по пути положив всю трассу. Именно поэтому я и сравнил эту особенность с лупдэтэктом. Не знаю почему вы прицепились к КП свича, это так очевидно же, что хорошая атака положит коммутатор чо бы там прописано не было. Какой доступ к контрол плане вообще. Это просто свичинг пакетиков может быть, от которых коммутатор сойдет сума. Нафия это продолжать свичивать то, я не пойму, если можно зарубить прямо на порту клиента, пускай на велосипеде. Но на тысяче велосипедов которые уже стоят и пыхтят. Я же с этого и начал. 100мбит ддоса свич не осиливает, но часть все равно отсекает. А если по пути еще и еще поотсекать. Или все-таки скоммутировать этот ддос до бордера, которому придется выпиливать не 100мбит а 300 например. Чо та какой то не крутой совсем расклад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 января, 2020 · Жалоба 19 минут назад, semop сказал: @VolanD666 То есть нужна крутая железяка для инпут, на входе. Как я собственно и говорил. И вторая на аутпут. Если это одна и та же, то все в труху. Точнее на порядок ниже эффективность. Снаружи да, закроете. А внутри - нет. Оно пролетит дальше до этой крутой железки и там умрет, по пути положив всю трассу. Именно поэтому я и сравнил эту особенность с лупдэтэктом. Не знаю почему вы прицепились к КП свича, это так очевидно же, что хорошая атака положит коммутатор чо бы там прописано не было. Какой доступ к контрол плане вообще. Это просто свичинг пакетиков может быть, от которых коммутатор сойдет сума. Нафия это продолжать свичивать то, я не пойму, если можно зарубить прямо на порту клиента, пускай на велосипеде. Но на тысяче велосипедов которые уже стоят и пыхтят. Я же с этого и начал. 100мбит ддоса свич не осиливает, но часть все равно отсекает. А если по пути еще и еще поотсекать. Или все-таки скоммутировать этот ддос до бордера, которому придется выпиливать не 100мбит а 300 например. Чо та какой то не крутой совсем расклад. Так, давайте еще раз. Вы что хотите сделать? А то у вас все в куче. Вы хотите свою сеть защитить от ддоса? Или вы хотите хосты в мире защищать от ваших клиентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 16 января, 2020 · Жалоба Да. В 13.01.2020 в 15:34, VolanD666 сказал: Вы хотите свою сеть защитить от ддоса у бордера В 13.01.2020 в 15:34, VolanD666 сказал: хосты в мире защищать от ваших клиентов на доступе Пока есть второе. У бордера надо крутую железяку. Либо средствами браса хотя бы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 января, 2020 · Жалоба 59 минут назад, semop сказал: Пока есть второе. Это вы сейчас про то что вы настроили на свичах доступа чтобы они внутрь пакетов смотрели? Если так, то вопрос. Что будет когда какой-нить клиент положит этот свит доступа по причине того, что ЦПУ свича не справится с обработкой ваших правил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 16 января, 2020 · Жалоба Так он не кладет его) Серево дальше порта летит гораздо меньше. А не до пункта назначения по всем свичам. Я ж сказал, выключить dos_pre то пожалуйста, вперед. По крайней мере у длинка. Немного похоже на поведение HOL функционала, хоть там и не такой план, но все равно. Если траф покрашен, но его шибко дофига в очереди на коммутаторе с мелким буфером, то HOL это будет "фиксить", если можно так сказать. Но тоже недоконца. Если выключить HOL, то все что работало более менее сносно - станет жутко тормозить. Это кстати мне немного непонятно. Но это офтоп уже. Хотя как раз может у них одинаковая легенда обработки таких штук, у разработчиков этого железа в смысле. Вопщем в принципе с dos_pre почти так же. Если его выключить, я положу свич. Если включить, то он пыхтит и не ложится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 января, 2020 · Жалоба 56 минут назад, semop сказал: Я ничсего не понимаю. Как вы его кладете и главное зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 16 января, 2020 · Жалоба Так флудом этим. И что значит зачем. Если я могу, значит автоматически такая возможность есть у любого. Нафига это? Именно за этим лабы и собирают вроде. Ладно, проехали. Сам разберусь... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 16 января, 2020 · Жалоба Начнём с простого и с базовых терминов. DDoS это распределённый DoS . Со скольких тысяч точек вы пробуете симулировать DDoS? Как вы синхронизируете и координируете эти точки? Если же ответ на эти вопросы в стиле "Что, Что", иле же речь идёт о симуляции с одной точки, то не о каком DDoS е тут нет и речи. Теперь про то на что направлен DDoS или даже DoS. Он направлен на какой либо сервис. Например на HTTP, FTP, и т.д. В случае же ваших коммутаторов, как уже много раз тут было сказано, в сторону клиентов не должно быть ни каких сервисов. Даже если речь идёт об L3 коммутаторах, то и по ICMP они не обязаны отвечать пользователям, так что там не за что вообще зацепиться для DoS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 17 января, 2020 · Жалоба @dvb2000 я понимаю. И даже не спорю с этим) Я сначала написал много. Потом все стер. Вопщем я закончил лабу) ПС: Это транзитный свич* в схеме : хост(хакер) - свич - свич* - свич - хост(ноут) Тут не сотка, потому что инерция мониторинга 1мин. На самом деле по консоли процессор скакал и до 90%. ЦПУ занят был просто свичингом этого несчастного флуда, который да, как тут много раз говорили вообще не связан ни с одним сервисом у абонентов. Хотя я вообще ждал что он по управлению отвалится, а он ок, попукивал но работал. Что же имел ноут в лабе, который "не имел" никаких сервисов с коммутатором? Так всё. Джиттер, потери пакетов, я даже мультикаст на него завернул чтоб тв рассыпалось, все было)) В лабе два хоста можно сказать, если не считать роутер, который я использовал для доступа наружу, потому что не хотелось это дело вываливать в реальную сеть. Дальше можно да, по настоящему, распределенно..хакеров 20 воткнуть. Но зачем. Я же знаю что будет) Ну и самое главное. Выше график цпу под нагрузкой 50-55мбит итого более чем за неделю и (самый сок) хакерское направление: и туда, и обратно =) Такой же коммутатор, но забитый 24 портами со среднестатистической нагрузкой 150мбит коммутирует на 45% цпу. Представьте, что транзитный свич это агрегация. Я тогда еще раз спрошу, а точно ли достаточно это закрывать только у бордера? Конфиг свича скидывать? Не знаю только зачем. Там три влана: ноут, хакер и управление. Лупбэки, шторм контрол, кос для игмп включено. ПС2: в начале недели пришла забавная мысль, мол что будет, если бы это была не звезда, а кольцо. И там включить STP...... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 17 января, 2020 · Жалоба @semop Дружище, успокойтесь, Вы все-же пишите на форум профессионалов, а не блондинок домохозяек. Следует подумать, прежде чем постить здесь всякую "чушь". Простите, но кто Вас учил делать "лабы"? Любая! лабораторная работа начинается с 1. Постановки задачи (Цели эксперимента). 2. Описания используемых приборов и инструментов, их характеристик. 3. Описания установки. В основной части содержит описание и методику проводимых экспериментов, методику измерений, наблюдаемые вами явления и значения промежуточных результатов, сравнение их с теоретическими расчетами. И заканчивается лабораторная работа выводами. Судя по содержанию Ваших постов, Вы делали не лабу, а "полет моей фантазии" с трансляцией потока Ваших мыслей. Кроме схемы Комп1-Свитч1-Свитч2-Свитч3-Комп2 Вы ничего не описываете. Пока в Вашем топе не появятся модели оборудования, его настройки и dumpы трафика комментировать и вступать с Вами в дискуссию будут только местные тролли. Спасибо за понимание. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 17 января, 2020 · Жалоба @semop З.Ы. И еще. Вы не задумывались, что ваши предположения и последовавшие выводы могут быть изначально неверные, из-за плохой "чистоты эксперимента"? Что рост цпу юзэдж может быть связан вовсе не со "свитчиванием трафика", а банальными дропами в трафике управления из-за Вашей "ддос" и необходимостью повторной передачи в тсп сессии? Или, например, необходимостью записи событий в лог на слабом ЦПУ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 17 января, 2020 · Жалоба 1 час назад, sdy_moscow сказал: З.Ы. И еще. Вы не задумывались, что ваши предположения и последовавшие выводы могут быть изначально неверные, из-за плохой "чистоты эксперимента"? Что рост цпу юзэдж может быть связан вовсе не со "свитчиванием трафика", а банальными дропами в трафике управления из-за Вашей "ддос" и необходимостью повторной передачи в тсп сессии? Да какой ддос то? Я может тупой и ничего не понимаю, но на свиче не должно быть никакого ддоса. Задача инженера защитить его от различного вида штормов и все. Я попробую сванговать, мне кажется свич валится как раз из-за того что ТС включил всякие "защиты" которые заставлять свич лезть глубоко в пакет. Дык может их выключить просто? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 18 января, 2020 · Жалоба @VolanD666 Проблема в том, что мне лично вообще непонятно, что хотел сделать @semop и на что он жалуется. Он сгенерировал чем-то? какой-то? tcp флуд, отправил его в какие-то? свитчи D-Link, увидел в их логах сообщения об обнаружении Blat attack, описание которой в документации сводиться к Цитата Blat Attack: This type of attack will send packets with the TCP/UDP source port equal to the destination port of the target device. It may cause the target device to respond to itself. И почему-то сделал выводы : 1. Что, так как его коммутаторы (возможно совершенно разных моделей) выводят сообщения о, повторюсь, не очень понятной Blat Attack, то они пропустили какой-то? трафик который они, по его предположению, должны фильтровать, хотя об этом нигде толком ничего не сказано. 2. Что высокий ЦПУ юзедж на его непонятно каком? свитче с непонятно какими? настройками с доступом к нему непонятно откуда и как? связан, по его мнению, с тем, что при включенных в настройках коммутатора опциях защиты от атак, обработка всех пакетов производится на ЦПУ коммутатора! 3. Что наблюдаемые им явления имеют место на всех моделях коммутаторов, ну или как минимум на всех моделях коммутаторов Д-Линк. З.Ы. Это просто бред какой-то! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 24 января, 2020 · Жалоба Свичи длинк. DES 3028 и DES 3200-28. Это почти не принципиально, потому что на DGS то же самое. Что было под рукой то и взял. Я это начал ковырять, потому что стало интересно что свич считает дос атакой и что вообще происходит в это время. В документации мало информации, это я тоже писал. Я даже согласен что тест был не до конца качественный, а может вообще неправильный) Хотя даже этого хватило чтоб нагрузить свич по процессору и повалять другой хост в рамках среднестатистического конфига коммутатора доступа. В 17.01.2020 в 17:53, VolanD666 сказал: Я попробую сванговать, мне кажется свич валится как раз из-за того что ТС включил всякие "защиты" которые заставлять свич лезть глубоко в пакет. Дык может их выключить просто? Он поднимает ЦПУ без защит) Включаешь - все в порядке и у свича и у ноутбука. Смысл лабы был просто посмотреть что произойдет, если ничего не делать. Вот например часть вариантов неверной комбинации флагов, которые свич считает tcp_sinfin атакой: Хуавэйный конфиг (у длинка это не расписано, там просто conf dos tcp_sinfin enable): rule 0 deny tcp ack 1 fin 1 psh 1 rst 1 syn 1 urg 1 rule 1 deny tcp rst 1 syn 1 fin 1 rule 2 deny tcp rst 1 syn 1 fin 1 ack 1 rule 3 deny tcp syn 1 fin 1 rule 4 deny tcp syn 1 fin 1 ack 1 rule 5 deny tcp syn 1 rst 1 Выкинем коммутаторный CP. Пес с ним, пускай работает. Атака хост - хост. Внутри описанной выше схемы. Без этих правил атакующий кладет другой хост, поднимает цпу свича. Если это передача данных - то внутри. Если интернет, то петелькой через роутер. В сам интернет наружу оно не вылезает, это и не обязательно. А например вы защищаетесь у бордера. Это 50%. ======= Конфиг не жалко, просто там ничего умного нет. Схема ПД: 1 порт (101 влан) - ноутбук. 101 влан (внутри него и устраивался "дос") - проключен до 3 свича (настройки аналогичные) 2 свич - тоже самое, просто 101 в транке на двух портах. 1999 управление, включен мультикаст, лупдетект, трафик-контрол. Свич ни на что не ругался, кроме доса, который вообще не для него предназначался. Получилась схема из 3 свичей, между которыми брошен 101 влан. (ноут и хакер) Хакер может атаковать ноут без проблем при выклюенном dos_pre (в конфиге он включен). Вторая часть лабы была в переключении обоих на интернет. Добавился второй влан 102 для хакера. Ноут 101, хакер 102. К транзитному свичу подключен роутер (сабинтерфейсы 101 и 102). Оба хоста в интернете. Хакер может атаковать ноут без проблем. Но уже через роутер, что естественно. Просто сам факт что может. Про хакера писать? У ноута не открывался tcp, когда хакер отвечал неверными флагами на SYN ноутбука. И получилась гора неоткрытых tcp на время таймаута. Свич пишет в логах SYN_FIN атака, а ноут в это время пингует свой интернет с жуткими потерями. У blat другие флаги. В хакеризме не силен, это самое простое что смог изобразить в качестве доса, поэтому можно наверно посмеяться на такой вариант) Зато работает. Конфиг свича, к которому подключен ноут (хакерский свич настроен аналогично): Все простецко. DES-3028 Fast Ethernet Switch Command Line Interface Firmware: Build 2.94.B04 Copyright(C) 2008 D-Link Corporation. All rights reserved. UserName:admin PassWord:***** DES-3028:5#sh conf cur Command: show config current_config #------------------------------------------------------------------- # DES-3028 Configuration # # Firmware: Build 2.94.B04 # Copyright(C) 2008 D-Link Corporation. All rights reserved. #------------------------------------------------------------------- # BASIC config serial_port baud_rate 9600 auto_logout 10_minutes # ACCOUNT LIST create account admin admin admin admin # ACCOUNT END # PASSWORD ENCRYPTION disable password encryption config terminal_line default enable clipaging disable command logging enable password_recovery # STORM config traffic trap both config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 64 countdown 0 time_interval 5 config traffic control 25-28 broadcast disable multicast disable unicast disable action drop threshold 64 countdown 0 time_interval 5 # LOOP_DETECT enable loopdetect config loopdetect recover_timer 60 config loopdetect interval 10 config loopdetect trap none config loopdetect port 1-24 state enabled config loopdetect port 25-28 state disabled # QOS config scheduling_mechanism strict config scheduling 0 weight 1 config scheduling 1 weight 2 config scheduling 2 weight 4 config scheduling 3 weight 8 config 802.1p user_priority 0 1 config 802.1p user_priority 1 0 config 802.1p user_priority 2 0 config 802.1p user_priority 3 1 config 802.1p user_priority 4 2 config 802.1p user_priority 5 2 config 802.1p user_priority 6 3 config 802.1p user_priority 7 3 config cos tos value 0 class 0 config cos tos value 1 class 0 config cos tos value 2 class 0 config cos tos value 3 class 0 config cos tos value 4 class 0 config cos tos value 5 class 0 config cos tos value 6 class 0 config cos tos value 7 class 0 config dscp_mapping dscp_value 0 class 0 config dscp_mapping dscp_value 1 class 0 config dscp_mapping dscp_value 2 class 0 config dscp_mapping dscp_value 3 class 0 config dscp_mapping dscp_value 4 class 0 config dscp_mapping dscp_value 5 class 0 config dscp_mapping dscp_value 6 class 0 config dscp_mapping dscp_value 7 class 0 config dscp_mapping dscp_value 8 class 0 config dscp_mapping dscp_value 9 class 0 config dscp_mapping dscp_value 10 class 0 config dscp_mapping dscp_value 11 class 0 config dscp_mapping dscp_value 12 class 0 config dscp_mapping dscp_value 13 class 0 config dscp_mapping dscp_value 14 class 0 config dscp_mapping dscp_value 15 class 0 config dscp_mapping dscp_value 16 class 0 config dscp_mapping dscp_value 17 class 0 config dscp_mapping dscp_value 18 class 0 config dscp_mapping dscp_value 19 class 0 config dscp_mapping dscp_value 20 class 0 config dscp_mapping dscp_value 21 class 0 config dscp_mapping dscp_value 22 class 0 config dscp_mapping dscp_value 23 class 0 config dscp_mapping dscp_value 24 class 0 config dscp_mapping dscp_value 25 class 0 config dscp_mapping dscp_value 26 class 0 config dscp_mapping dscp_value 27 class 0 config dscp_mapping dscp_value 28 class 0 config dscp_mapping dscp_value 29 class 0 config dscp_mapping dscp_value 30 class 0 config dscp_mapping dscp_value 31 class 0 config dscp_mapping dscp_value 32 class 0 config dscp_mapping dscp_value 33 class 0 config dscp_mapping dscp_value 34 class 0 config dscp_mapping dscp_value 35 class 0 config dscp_mapping dscp_value 36 class 0 config dscp_mapping dscp_value 37 class 0 config dscp_mapping dscp_value 38 class 0 config dscp_mapping dscp_value 39 class 0 config dscp_mapping dscp_value 40 class 0 config dscp_mapping dscp_value 41 class 0 config dscp_mapping dscp_value 42 class 0 config dscp_mapping dscp_value 43 class 0 config dscp_mapping dscp_value 44 class 0 config dscp_mapping dscp_value 45 class 0 config dscp_mapping dscp_value 46 class 0 config dscp_mapping dscp_value 47 class 0 config dscp_mapping dscp_value 48 class 0 config dscp_mapping dscp_value 49 class 0 config dscp_mapping dscp_value 50 class 0 config dscp_mapping dscp_value 51 class 0 config dscp_mapping dscp_value 52 class 0 config dscp_mapping dscp_value 53 class 0 config dscp_mapping dscp_value 54 class 0 config dscp_mapping dscp_value 55 class 0 config dscp_mapping dscp_value 56 class 0 config dscp_mapping dscp_value 57 class 0 config dscp_mapping dscp_value 58 class 0 config dscp_mapping dscp_value 59 class 0 config dscp_mapping dscp_value 60 class 0 config dscp_mapping dscp_value 61 class 0 config dscp_mapping dscp_value 62 class 0 config dscp_mapping dscp_value 63 class 0 config 802.1p default_priority 1-28 0 config cos mapping port 1-24 ethernet 802.1p config cos mapping port 25-28 port_mapping ethernet 802.1p ip dscp # MIRROR disable mirror config mirror port 1 delete source ports 1 both # BANDWIDTH config bandwidth_control 1-28 rx_rate no_limit tx_rate no_limit # SYSLOG disable syslog config log_save_timing on_demand # TRAF-SEGMENTATION config traffic_segmentation 1-28 forward_list 1-28 # PACKET_FROM_CPU config mgmt_pkt_priority default # SSL disable ssl enable ssl ciphersuite RSA_with_RC4_128_MD5 enable ssl ciphersuite RSA_with_3DES_EDE_CBC_SHA enable ssl ciphersuite DHE_DSS_with_3DES_EDE_CBC_SHA enable ssl ciphersuite RSA_EXPORT_with_RC4_40_MD5 config ssl cachetimeout 600 # PORT config ports 1-28 speed auto flow_control disable state enable clear_description config ports 1-28 learning enable config ports 1-28 mdix auto config ports 25-26 medium_type fiber speed auto flow_control disable state enable clear_description config ports 25-26 medium_type fiber learning enable # OAM # DDM config ddm trap disable config ddm log enable config ddm ports 25-26 state enable shutdown none # TIME_RANGE # GM config sim candidate disable sim config sim dp_interval 30 config sim hold_time 100 # MANAGEMENT enable snmp traps enable snmp authenticate traps enable snmp linkchange_traps config snmp linkchange_traps ports all enable config snmp coldstart_traps enable config snmp warmstart_traps enable disable rmon # SNMPv3 delete snmp community public delete snmp community private delete snmp user initial delete snmp group initial delete snmp view restricted all delete snmp view CommunityView all delete snmp group public delete snmp group private delete snmp group ReadGroup delete snmp group WriteGroup config snmp engineID 800000ab031caff77d6443 create snmp view restricted 1.3.6.1.2.1.1 view_type included create snmp view restricted 1.3.6.1.2.1.11 view_type included create snmp view restricted 1.3.6.1.6.3.10.2.1 view_type included create snmp view restricted 1.3.6.1.6.3.11.2.1 view_type included create snmp view restricted 1.3.6.1.6.3.15.1.1 view_type included create snmp view CommunityView 1 view_type included create snmp view CommunityView 1.3.6.1.6.3 view_type excluded create snmp view CommunityView 1.3.6.1.6.3.1 view_type included create snmp group public v1 read_view CommunityView notify_view CommunityView create snmp group public v2c read_view CommunityView notify_view CommunityView create snmp group initial v3 noauth_nopriv read_view restricted notify_view restricted create snmp group private v1 read_view CommunityView write_view CommunityView notify_view CommunityView create snmp group private v2c read_view CommunityView write_view CommunityView notify_view CommunityView create snmp group ReadGroup v1 read_view CommunityView notify_view CommunityView create snmp group ReadGroup v2c read_view CommunityView notify_view CommunityView create snmp group WriteGroup v1 read_view CommunityView write_view CommunityView notify_view CommunityView create snmp group WriteGroup v2c read_view CommunityView write_view CommunityView notify_view CommunityView create snmp community private view CommunityView read_write create snmp community public view CommunityView read_only create snmp user initial initial # DEBUG_HANDLER debug config error_reboot enable # VLAN disable asymmetric_vlan disable qinq config vlan default delete 1-28 config vlan default advertisement disable create vlan 101 tag 101 config vlan 101 add tagged 25-28 config vlan 101 add untagged 1 create vlan 1999 tag 1999 config vlan 1999 add tagged 25-28 disable gvrp config gvrp 1 state disable ingress_checking enable acceptable_frame admit_all pvid 101 config gvrp 2-28 state disable ingress_checking enable acceptable_frame admit_all pvid 1 # 8021X disable 802.1x config 802.1x auth_protocol radius_eap config radius parameter timeout 5 retransmit 2 config 802.1x capability ports 1-28 none config 802.1x auth_parameter ports 1-28 direction both port_control auto quiet_period 60 tx_period 30 supp_timeout 30 server_timeout 30 max_req 2 reauth_period 3600 enable_reauth disable # PORT_LOCK disable port_security trap_log config port_security ports 1-28 admin_state disable max_learning_addr 1 lock_address_mode DeleteOnTimeout # PPPOE config pppoe circuit_id_insertion state disable config pppoe circuit_id_insertion ports 1-28 state enable circuit_id ip # DhcpSS config filter dhcp_server ports 1-28 state disable config filter dhcp_server trap_log disable config filter dhcp_server illegal_server_log_suppress_duration 5min # MAC_ADDRESS_TABLE_NOTIFICATION config mac_notification interval 1 historysize 1 disable mac_notification config mac_notification ports 1-28 disable # STP disable stp config stp version rstp config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60 config stp priority 32768 instance_id 0 config stp mst_config_id name 00:1E:58:48:8D:CB revision_level 0 config stp trap new_root enable topo_change enable config stp ports 1-28 externalCost auto edge false p2p auto state enable lbd disable config stp mst_ports 1-28 instance_id 0 internalCost auto priority 128 config stp ports 1-28 fbpdu enable config stp ports 1-28 restricted_role false config stp ports 1-28 restricted_tcn false # MULTI FILTER config control_pkt ipv4 igmp replace priority none dscp none config control_pkt ipv4 vrrp replace priority none dscp none config control_pkt ipv4 rip replace priority none dscp none config control_pkt ipv4 pim replace priority none dscp none config control_pkt ipv4 dvmrp replace priority none dscp none config control_pkt ipv4 ospf replace priority none dscp none config control_pkt ipv6 mld replace priority none dscp none config control_pkt ipv6 nd replace priority none dscp none config max_mcast_group port 1-28 max_group 256 # BPDU_PROTECTION config bpdu_protection ports 1-28 mode shutdown # SAFEGUARD_ENGINE config safeguard_engine state disable utilization rising 30 falling 20 trap_log disable mode fuzzy # BANNER_PROMP config command_prompt default config greeting_message default # SSH config ssh algorithm 3DES enable config ssh algorithm AES128 enable config ssh algorithm AES192 enable config ssh algorithm AES256 enable config ssh algorithm arcfour enable config ssh algorithm blowfish enable config ssh algorithm cast128 enable config ssh algorithm twofish128 enable config ssh algorithm twofish192 enable config ssh algorithm twofish256 enable config ssh algorithm MD5 enable config ssh algorithm SHA1 enable config ssh algorithm RSA enable config ssh algorithm DSA enable config ssh authmode password enable config ssh authmode publickey enable config ssh authmode hostbased enable config ssh server maxsession 8 config ssh server contimeout 120 config ssh server authfail 2 config ssh server rekey never config ssh user root authmode password config ssh user techsup authmode password disable ssh # SNOOP enable igmp_snooping config igmp_snooping data_driven_learning max_learned_entry 128 enable igmp_snooping multicast_vlan create igmp_snooping multicast_vlan v100 100 config igmp_snooping multicast_vlan v100 state enable config igmp_snooping multicast_vlan v100 replace_source_ip 10.11.106.1 config igmp_snooping multicast_vlan v100 add member_port 1 config igmp_snooping multicast_vlan v100 add tag_member_port 26-28 config igmp_snooping multicast_vlan v100 add source_port 25 config igmp_snooping vlan_name default host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable config igmp_snooping data_driven_learning vlan_name default aged_out disable config igmp_snooping data_driven_learning vlan_name default state enable config igmp_snooping querier all query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable config igmp_snooping vlan_name v100 host_timeout 260 router_timeout 260 leave_timer 2 fast_leave enable config igmp_snooping data_driven_learning vlan_name v100 aged_out enable config igmp_snooping data_driven_learning vlan_name v100 state enable config igmp_snooping vlan_name 101 host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable config igmp_snooping data_driven_learning vlan_name 101 aged_out disable config igmp_snooping data_driven_learning vlan_name 101 state enable config igmp_snooping vlan_name 1999 host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable config igmp_snooping data_driven_learning vlan_name 1999 aged_out disable config igmp_snooping data_driven_learning vlan_name 1999 state disable config igmp access_authentication port 1-28 state disable config cpu_filter l3_control_pkt 1-28 all state disable # FDB config fdb aging_time 300 config multicast port_filtering_mode 1 filter_unregistered_groups config multicast port_filtering_mode 2-28 forward_unregistered_groups disable flood_fdb config flood_fdb log disable trap disable # VLAN_TRUNK disable vlan_trunk # SMTP disable smtp # ACL create access_profile ip destination_ip 255.255.0.0 dscp profile_id 4 config access_profile profile_id 4 add access_id 1 ip destination_ip 239.195.0.0 port 1-28 permit priority 5 rx_rate no_limit disable cpu_interface_filtering # SNTP disable sntp config time_zone operator - hour 6 min 0 config sntp primary 0.0.0.0 secondary 0.0.0.0 poll-interval 720 config dst disable # DOS_PREVENTION enable dos_prevention trap_log config dos_prevention dos_type land_attack action drop state enable config dos_prevention dos_type blat_attack action drop state enable config dos_prevention dos_type smurf_attack action drop state enable config dos_prevention dos_type tcp_null_scan action drop state enable config dos_prevention dos_type tcp_xmascan action drop state enable config dos_prevention dos_type tcp_synfin action drop state enable config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable # LACP config lacp_port 1-28 mode passive config link_aggregation algorithm mac_source # ERPS config erps log disable disable erps # ADDRBIND disable address_binding dhcp_snoop disable address_binding trap_log config address_binding ip_mac ports 1-28 state disable allow_zeroip disable forward_dhcppkt enable config address_binding ip_mac ports 1-28 mode arp stop_learning_threshold 500 config address_binding dhcp_snoop max_entry ports 1-28 limit 5 # ARPSPOOF # IP config ipif System vlan 1999 ipaddress 10.11.106.1/24 state enable config ipif System dhcp_option12 state disable enable telnet 23 enable web 80 disable autoconfig # LLDP disable lldp config lldp message_tx_interval 30 config lldp tx_delay 2 config lldp message_tx_hold_multiplier 4 config lldp reinit_delay 2 config lldp notification_interval 5 config lldp ports 1-28 notification disable config lldp ports 1-28 admin_status tx_and_rx # MLDSNP disable mld_snooping # ARP config arp_aging time 20 config gratuitous_arp send ipif_status_up enable config gratuitous_arp send dup_ip_detected enable config gratuitous_arp learning enable # AAA config authen_login default method local config authen_enable default method local_enable config authen application console login default config authen application console enable default config authen application telnet login default config authen application telnet enable default config authen application ssh login default config authen application ssh enable default config authen application http login default config authen application http enable default config authen parameter response_timeout 30 config authen parameter attempt 3 disable authen_policy config admin local_enable # DHCP_RELAY disable dhcp_relay config dhcp_relay hops 4 time 0 config dhcp_relay option_82 state disable config dhcp_relay option_82 check disable config dhcp_relay option_82 policy replace config dhcp_relay option_82 remote_id default # DHCP_LOCAL_RELAY disable dhcp_local_relay config dhcp_local_relay option_82 ports 1-28 policy keep # FIRM config configuration trap save disable upload disable download disable # ROUTE create iproute default 10.11.106.254 1 #------------------------------------------------------------------- # End of configuration file for DES-3028 #------------------------------------------------------------------ DES-3028:5# А еще например ping_death атаку коммутатор считает, когда пингуешь его самого от 1500 байт. Стало непонятно, потому что остальные "защиты" защищают не только сам свич, о чем собственно вы и говорите задавая вопросы про его СР и сервисы связанные с абонентом, что логично. А их нет) Ну если снупинг не считать. Так оно и без снупинга хакерится хорошо. А при ping_death это распространяется только на коммутатор. Т.е. после включения я перестаю пинговать свич по управлению на 1500 байт, а хосты между собой пингуются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 24 января, 2020 · Жалоба Ну вы же понимаете что так быть не должно? Что сквозной трафик не должен грузить ЦПУ свича и если грузит (и этол нормальное его поведение) то зачем такой свич? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 24 января, 2020 · Жалоба Да. Зато когда включаю фильтрацию - становится в допусках и ЦПУ и сервисы, которые коммутатор коммутирует. Без фильтрации пускай нам будет наплевать на CP свича, или он даже не напрягается от этого. Ладно. А как же абонентские сервисы? Абонент в другой части города помирает от флуда другого абонента из другой части города, если у него запустить эту шнягу. Цель была не столько защитить оборудование, сколько зафильтровать это в любую сторону для абонентов. По итогам лабы у меня получился ACL для любого роутера, который умеет ACL'ы. Хоть цыска, хоть хуавэй, хоть чего. Но я согласен что он неполный. Хотя это же лучше чем ничего. Можно поставить и на доступе и около бордера, потому что как мы знаем флудить можно и без интернета. Вот у вас например не стоит. Получается я могу таким же образом нагрузить обратный канал любого вашего абонента скушав его тарифный план, находясь в вашей сети. И пограничная ддос фильтрация у бордера вам не поможет, потому что дальше шлюза локальному хакеру идти и не надо) точнее он там и не пойдет. А бывает такое что у людей на сети один влан на весь доступ. Тогда вообще приехали, и шлюз то не нужен особо. Это же сверхзаблуждение, что этот дос может придти только снаружи. Я вот про что. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 24 января, 2020 · Жалоба Ну дык, а зачем у вас клиенты друг к другу ходят? Может искать решение чтобы клиенты в принципе друг к другу не ходили? Клиенты с белыми адресами сами подписались на различного рода воздействия извне. Зачем вы в трафик вмешиваетесь то? В любом случае, такие вещи не делаются на акцессе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 25 января, 2020 · Жалоба 20 hours ago, semop said: Свичи длинк. DES 3028 и DES 3200-28. Это почти не принципиально, потому что на DGS то же самое. Что было под рукой то и взял. Я это начал ковырять, потому что стало интересно что свич считает дос атакой и что вообще происходит в это время. В документации мало информации, это я тоже писал. А еще например ping_death атаку коммутатор считает, когда пингуешь его самого от 1500 байт. Стало непонятно, потому что остальные "защиты" защищают не только сам свич, о чем собственно вы и говорите задавая вопросы про его СР и сервисы связанные с абонентом, что логично. А их нет) Ну если снупинг не считать. Так оно и без снупинга хакерится хорошо. А при ping_death это распространяется только на коммутатор. Т.е. после включения я перестаю пинговать свич по управлению на 1500 байт, а хосты между собой пингуются. Что это же за некрофилия такая. Тот-же DES 3028 , это ж L2 коммутатор что использовался ещё аж в 2006 году, а в 2012 году длинк доступно разъяснили, что теперь он идёт на свалку, словами дилинк это называется: phased out. Про DES 3200 даже и говорить нечего. Действительно очень странно что пятнадцати летней давности хлам тормозит если над ним издеваться и грузить его невесть чем, при этом включив на нём все его свистелки и гуделки, и ещё удивляется что весь пар в гудок уходит. Ну тогда можно уже не мелочиться и выкопать например несколько MAUs, собрать из них один большой token ring , нагрузить это всё и потом удивляться что это ж как оно медленно работает. Кроме того, какой такой: ping_death ? Это же L2 коммутатор, на нём со стороны пользователей нет ничего что можно было бы в принципе попинговать, на нём даже ни на одном из VLANs кроме как на management VLAN , который недоступен со стороны пользователей, нет вообще не только L3 сервисов, но и даже адреса IP как такового. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...