Jump to content

Вопрос про PPPoED в одном Ethernet сегменте

medmm
 Share

Recommended Posts

medmm

medmm

Posted
Posted

Здравствуйте! Являюсь абонентом одного крупного провайдера.

Несколько дней назад у них проводилась модернизация оборудования, из-за которой наш микрорайон потерял доступ к интернету.

Решил посмотреть, в чем же дело. В логах микротика увидел, что pppoe сервер не отвечает на PADI-пакеты. Но! Помимо "своих" PADI пакетов я увидел сотни чужих, беспрерывно сыпавшихся на интерфейс. Решил поднять pppoe сервер (ради интереса) и сотни клиентов начали сообщать мне свои учетные данные. То есть провайдер вообще не позаботился о блокировке авторизационного флуда на доступе.

Как только провайдер поднял свой vrrp-pppoe сервер, padi сыпаться перестали. Решил проверить, как в целом изменилась ситуация с pppoed в сегменте. Оказалось, что теперь "мои" padi пакеты не доходят ни до кого в сегменте, кроме pppoe сервера (соответственно, он на них отвечает). Убедился в этом, встав wireshark`ом на интерфейс в соседнем подъезде. Кроме того, до моего интерфейса не доходят padi от других клиентов (проверил опять же с соседнего подъезда). Такое ощущение, что пров настроил на коммутаторах ACL на запрет входящих padi на клиентских портах за пару часов, но ведь это невозможно.

Конечно, так и должно быть, но меня мучает вопрос: как широковещательная рассылка ethernet кадров зависит от состояния pppoe сервера?

s.lobanov

s.lobanov

Posted
Posted

типичный говнопровайдер, работающий по схеме "всё в одном влане". тут таких полфорума, с пеной у рта отстаюивающих свои говносхемы типа "влан на город", "влан на район", "влан на агрегатор" и т.п. делают это либо от лени, либо просто от безграмотности. не, ну есть ещё вариант что у провайдера стоят неуправляхи со времён царя Гороха, но даже с ними вы должны видеть небольшое кол-во абонентов (до первого агрегатора), а на модных неуправляхах вообще есть джампер для л2-изоляции

Ivan_83

Ivan_83

Posted
Posted
15 минут назад, medmm сказал:

Несколько дней назад у них проводилась модернизация оборудования, из-за которой наш микрорайон потерял доступ к интернету.

Это называется перезагрузка свича, когда он из управляемого превращается в тупаря :)

У меня такие "модернизации" в бытность абонентом ттк-иркутск проводились пару раз в неделю :)

medmm

medmm

Posted
  • Author
Posted
19 минут назад, s.lobanov сказал:

есть ещё вариант что у провайдера стоят неуправляхи со времён царя Гороха, но даже с ними вы должны видеть небольшое кол-во абонентов (до первого агрегатора), а на модных неуправляхах вообще есть джампер для л2-изоляции

Я подключен в huawei s5320-28tp-li-ac, в соседнем подъезде QTECH, оба управляемые, но во время "модернизации" л2-изоляцию я не увидел) 

 

12 минут назад, Ivan_83 сказал:

Это называется перезагрузка свича, когда он из управляемого превращается в тупаря :)

Тогда получается, что перезагрузили все свичи в моем сегменте, раз сотни абонов начали друг дружке рассылать padi и я их увидел? Или я не в том направлении мыслю?

Ivan_83

Ivan_83

Posted
Posted
58 минут назад, medmm сказал:

Тогда получается, что перезагрузили все свичи в моем сегменте, раз сотни абонов начали друг дружке рассылать padi и я их увидел? Или я не в том направлении мыслю?

Возможно один где то на узле.

medmm

medmm

Posted
  • Author
Posted
20 минут назад, Ivan_83 сказал:

Возможно один где то на узле.

Тогда мне не понятно, почему я сейчас не вижу padi, которые рассылает мой микротик из соседнего подъезда (pppoe scan)? 

Завтра проверю прохождение широковещательных кадров padi в пределах одного коммутатора.

Andrei

Andrei

Posted
Posted
10 часов назад, medmm сказал:

Тогда мне не понятно, почему я сейчас не вижу padi, которые рассылает мой микротик из соседнего подъезда (pppoe scan)? 

Завтра проверю прохождение широковещательных кадров padi в пределах одного коммутатора.

Клиентский влан может и один, но оператор настроил traffic_segmentation (в терминах длинка) на свичах доступа и теперь все padi улетают только в аплинк.

vano_kns

vano_kns

Posted
Posted

Andrei прав, это switchport protected (на Cisco) в чистом виде, ну или isolate portgroup (на Qtech) ну или trafic segmentation (на Dlink)

Не даёт гонять l2 трафик между портами, только через аплинк

medmm

medmm

Posted
  • Author
Posted
1 час назад, vano_kns сказал:

Andrei прав, это switchport protected (на Cisco) в чистом виде, ну или isolate portgroup (на Qtech) ну или trafic segmentation (на Dlink)

Не даёт гонять l2 трафик между портами, только через аплинк

На моем свиче точно не включена trafic segmentation, так как во время дауна pppoe сервера я видел весь л2 трафик (padi). Я хочу понять, на каком узле режется этот трафик. Может быть, что помимо pppoe провайдер ребутал один из узловых свичей, функцией которого и было блокировать этот авторизационный флуд. Этот вариант довольно логичен, но сходится не со всеми фактами. В таком случае мне опять же не понятно, как узловой свич может блокировать л2 флуд, который через него не проходит (мой коммутатор и соседний включены цепочкой через транки)

snvoronkov

snvoronkov

Posted
Posted
8 минут назад, medmm сказал:

Этот вариант довольно логичен, но сходится не со всеми фактами. В таком случае мне опять же не понятно, как узловой свич может блокировать л2 флуд, который через него не проходит (мой коммутатор и соседний включены цепочкой через транки)

Как вариант: На доступе стоит изоляция/сегментация портов, на агрегации - фильтрация по MAC Dst.

 

Второе убрали от большого ума/непонимания/придумать самостоятельно.

 

Получите ровно вашу картинку.

medmm

medmm

Posted
  • Author
Posted
1 час назад, snvoronkov сказал:

Как вариант: На доступе стоит изоляция/сегментация портов, на агрегации - фильтрация по MAC Dst.

Вы правы, похоже, что на доступе изоляция действительно есть, клиентские padi отправляются только на uplink коммутатора, но во время ребута ("модернизации") вышестоящего коммутатора он превратился в тупаря и начал пропускать л2 во все стороны, а не только к аплинку и я увидел broadcast storm на интерфейсе микротика.

Тогда буду ждать очередной "модернизации", хоть посчитаю количество абонов в одном сегменте)

vano_kns

vano_kns

Posted
Posted (edited)
1 hour ago, medmm said:

но во время ребута ("модернизации") вышестоящего коммутатора он превратился в тупаря и начал пропускать л2 во все стороны, а не только к аплинку и я увидел broadcast storm на интерфейсе микротика.

Тогда буду ждать очередной "модернизации", хоть посчитаю количество абонов в одном сегменте)

С чего вы взяли что он в кого-то там превращался? Сами же предположили - была модернизация...а скорее всего коммутатор просто сгорел, произвели замену и прописали типовые настройки - лишь бы инженеры получили доступ к оборудованию, в это время вы и видели трафик всех абонентов, потом залили нормальный конфиг и свистопляска прекратилась....не мог же коммутатор несколько часов загружаться и всё это время быть тупым свичем....

 

у РТК не видел никаких фильтрация по MAC Dst, просто изоляция портов и на доступе и на агрегации, и никаких чужих пакетов никто из клиентов не видел

Edited by vano_kns
medmm

medmm

Posted
  • Author
Posted
4 часа назад, vano_kns сказал:

скорее всего коммутатор просто сгорел, произвели замену и прописали типовые настройки - лишь бы инженеры получили доступ к оборудованию, в это время вы и видели трафик всех абонентов, потом залили нормальный конфиг и свистопляска прекратилась....

Согласен, наверное так и было... Спасибо за разъяснение)

 

vurd

vurd

Posted
Posted

Кстати, вы знаете что сейчас выложили в открытый доступ информацию об успешно проверенной вами атаки на сотни абонентов одного крупного, как вы выражаетесь, оператора?

medmm

medmm

Posted
  • Author
Posted (edited)
9 минут назад, vurd сказал:

А что вы смеётесь? Про wpad и 2 млн рублей почитайте на хабре.

Там человек конфиги нескольких тысяч абонентов сломал, а я ничего не ломал, не менял, в сети никаких следов не оставил, тем более, что во время модернизации у провайдера вообще не было доступа к статистике и мониторингу.

Да и атакой это сложно назвать, wireshark и 2 команды на микроте.

Edited by medmm
vurd

vurd

Posted
Posted
10 часов назад, medmm сказал:

Там человек конфиги нескольких тысяч абонентов сломал, а я ничего не ломал, не менял, в сети никаких следов не оставил, тем более, что во время модернизации у провайдера вообще не было доступа к статистике и мониторингу.

Да и атакой это сложно назвать, wireshark и 2 команды на микроте.

Однако учётные данные вы собрали, путем проведения одной половины mitm атаки, да, те самые две команды.

medmm

medmm

Posted
  • Author
Posted
2 часа назад, vurd сказал:

Однако учётные данные вы собрали, путем проведения одной половины mitm атаки, да, те самые две команды.

Так или иначе, могу с уверенностью утверждать, что мою "атаку" никто не заметил;)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.