[medmm]

Здравствуйте! Являюсь абонентом одного крупного провайдера.

Несколько дней назад у них проводилась модернизация оборудования, из-за которой наш микрорайон потерял доступ к интернету.

Решил посмотреть, в чем же дело. В логах микротика увидел, что pppoe сервер не отвечает на PADI-пакеты. Но! Помимо "своих" PADI пакетов я увидел сотни чужих, беспрерывно сыпавшихся на интерфейс. Решил поднять pppoe сервер (ради интереса) и сотни клиентов начали сообщать мне свои учетные данные. То есть провайдер вообще не позаботился о блокировке авторизационного флуда на доступе.

Как только провайдер поднял свой vrrp-pppoe сервер, padi сыпаться перестали. Решил проверить, как в целом изменилась ситуация с pppoed в сегменте. Оказалось, что теперь "мои" padi пакеты не доходят ни до кого в сегменте, кроме pppoe сервера (соответственно, он на них отвечает). Убедился в этом, встав wireshark`ом на интерфейс в соседнем подъезде. Кроме того, до моего интерфейса не доходят padi от других клиентов (проверил опять же с соседнего подъезда). Такое ощущение, что пров настроил на коммутаторах ACL на запрет входящих padi на клиентских портах за пару часов, но ведь это невозможно.

Конечно, так и должно быть, но меня мучает вопрос: как широковещательная рассылка ethernet кадров зависит от состояния pppoe сервера?

[s.lobanov]

типичный говнопровайдер, работающий по схеме "всё в одном влане". тут таких полфорума, с пеной у рта отстаюивающих свои говносхемы типа "влан на город", "влан на район", "влан на агрегатор" и т.п. делают это либо от лени, либо просто от безграмотности. не, ну есть ещё вариант что у провайдера стоят неуправляхи со времён царя Гороха, но даже с ними вы должны видеть небольшое кол-во абонентов (до первого агрегатора), а на модных неуправляхах вообще есть джампер для л2-изоляции

[Ivan_83]

15 минут назад, medmm сказал:

Несколько дней назад у них проводилась модернизация оборудования, из-за которой наш микрорайон потерял доступ к интернету.

Это называется перезагрузка свича, когда он из управляемого превращается в тупаря :)

У меня такие "модернизации" в бытность абонентом ттк-иркутск проводились пару раз в неделю :)

[Saab95]

При этом флудить вполне может некая центральная железка, отсюда и появляется большое количество чужого трафика.

[medmm]

19 минут назад, s.lobanov сказал:

есть ещё вариант что у провайдера стоят неуправляхи со времён царя Гороха, но даже с ними вы должны видеть небольшое кол-во абонентов (до первого агрегатора), а на модных неуправляхах вообще есть джампер для л2-изоляции

Я подключен в huawei s5320-28tp-li-ac, в соседнем подъезде QTECH, оба управляемые, но во время "модернизации" л2-изоляцию я не увидел) 

 

12 минут назад, Ivan_83 сказал:

Это называется перезагрузка свича, когда он из управляемого превращается в тупаря :)

Тогда получается, что перезагрузили все свичи в моем сегменте, раз сотни абонов начали друг дружке рассылать padi и я их увидел? Или я не в том направлении мыслю?

[Ivan_83]

58 минут назад, medmm сказал:

Тогда получается, что перезагрузили все свичи в моем сегменте, раз сотни абонов начали друг дружке рассылать padi и я их увидел? Или я не в том направлении мыслю?

Возможно один где то на узле.

[medmm]

20 минут назад, Ivan_83 сказал:

Возможно один где то на узле.

Тогда мне не понятно, почему я сейчас не вижу padi, которые рассылает мой микротик из соседнего подъезда (pppoe scan)? 

Завтра проверю прохождение широковещательных кадров padi в пределах одного коммутатора.

[Andrei]

10 часов назад, medmm сказал:

Тогда мне не понятно, почему я сейчас не вижу padi, которые рассылает мой микротик из соседнего подъезда (pppoe scan)? 

Завтра проверю прохождение широковещательных кадров padi в пределах одного коммутатора.

Клиентский влан может и один, но оператор настроил traffic_segmentation (в терминах длинка) на свичах доступа и теперь все padi улетают только в аплинк.

[vano_kns]

Andrei прав, это switchport protected (на Cisco) в чистом виде, ну или isolate portgroup (на Qtech) ну или trafic segmentation (на Dlink)

Не даёт гонять l2 трафик между портами, только через аплинк

[medmm]

1 час назад, vano_kns сказал:

Andrei прав, это switchport protected (на Cisco) в чистом виде, ну или isolate portgroup (на Qtech) ну или trafic segmentation (на Dlink)

Не даёт гонять l2 трафик между портами, только через аплинк

На моем свиче точно не включена trafic segmentation, так как во время дауна pppoe сервера я видел весь л2 трафик (padi). Я хочу понять, на каком узле режется этот трафик. Может быть, что помимо pppoe провайдер ребутал один из узловых свичей, функцией которого и было блокировать этот авторизационный флуд. Этот вариант довольно логичен, но сходится не со всеми фактами. В таком случае мне опять же не понятно, как узловой свич может блокировать л2 флуд, который через него не проходит (мой коммутатор и соседний включены цепочкой через транки)

[snvoronkov]

8 минут назад, medmm сказал:

Этот вариант довольно логичен, но сходится не со всеми фактами. В таком случае мне опять же не понятно, как узловой свич может блокировать л2 флуд, который через него не проходит (мой коммутатор и соседний включены цепочкой через транки)

Как вариант: На доступе стоит изоляция/сегментация портов, на агрегации - фильтрация по MAC Dst.

 

Второе убрали от большого ума/непонимания/придумать самостоятельно.

 

Получите ровно вашу картинку.

[medmm]

1 час назад, snvoronkov сказал:

Как вариант: На доступе стоит изоляция/сегментация портов, на агрегации - фильтрация по MAC Dst.

Вы правы, похоже, что на доступе изоляция действительно есть, клиентские padi отправляются только на uplink коммутатора, но во время ребута ("модернизации") вышестоящего коммутатора он превратился в тупаря и начал пропускать л2 во все стороны, а не только к аплинку и я увидел broadcast storm на интерфейсе микротика.

Тогда буду ждать очередной "модернизации", хоть посчитаю количество абонов в одном сегменте)

[vano_kns]

1 hour ago, medmm said:

но во время ребута ("модернизации") вышестоящего коммутатора он превратился в тупаря и начал пропускать л2 во все стороны, а не только к аплинку и я увидел broadcast storm на интерфейсе микротика.

Тогда буду ждать очередной "модернизации", хоть посчитаю количество абонов в одном сегменте)

С чего вы взяли что он в кого-то там превращался? Сами же предположили - была модернизация...а скорее всего коммутатор просто сгорел, произвели замену и прописали типовые настройки - лишь бы инженеры получили доступ к оборудованию, в это время вы и видели трафик всех абонентов, потом залили нормальный конфиг и свистопляска прекратилась....не мог же коммутатор несколько часов загружаться и всё это время быть тупым свичем....

 

у РТК не видел никаких фильтрация по MAC Dst, просто изоляция портов и на доступе и на агрегации, и никаких чужих пакетов никто из клиентов не видел

Изменено 10 февраля, 2020 пользователем vano_kns

[medmm]

4 часа назад, vano_kns сказал:

скорее всего коммутатор просто сгорел, произвели замену и прописали типовые настройки - лишь бы инженеры получили доступ к оборудованию, в это время вы и видели трафик всех абонентов, потом залили нормальный конфиг и свистопляска прекратилась....

Согласен, наверное так и было... Спасибо за разъяснение)

 

[vurd]

Кстати, вы знаете что сейчас выложили в открытый доступ информацию об успешно проверенной вами атаки на сотни абонентов одного крупного, как вы выражаетесь, оператора?

[satboy]

Топикстартер - помни...   Явка с повинной и раскаяние в содеянном - смягчает наказание!

[vurd]

А что вы смеётесь? Про wpad и 2 млн рублей почитайте на хабре.

[medmm]

9 минут назад, vurd сказал:

А что вы смеётесь? Про wpad и 2 млн рублей почитайте на хабре.

Там человек конфиги нескольких тысяч абонентов сломал, а я ничего не ломал, не менял, в сети никаких следов не оставил, тем более, что во время модернизации у провайдера вообще не было доступа к статистике и мониторингу.

Да и атакой это сложно назвать, wireshark и 2 команды на микроте.

Изменено 10 февраля, 2020 пользователем medmm

[s.lobanov]

@medmm вы в курсе что forum.nag.ru это распространитель информации и ваш IP уже давно зафиксирован?

Рекомендую выезжать из страны через Белоруссию, это ваш последний шанс

[medmm]

@s.lobanov Вот я влип! Пошел собирать чемоданы, походу за мной уже выехали, последний понедельник живу.

[vurd]

10 часов назад, medmm сказал:

Там человек конфиги нескольких тысяч абонентов сломал, а я ничего не ломал, не менял, в сети никаких следов не оставил, тем более, что во время модернизации у провайдера вообще не было доступа к статистике и мониторингу.

Да и атакой это сложно назвать, wireshark и 2 команды на микроте.

Однако учётные данные вы собрали, путем проведения одной половины mitm атаки, да, те самые две команды.

[medmm]

2 часа назад, vurd сказал:

Однако учётные данные вы собрали, путем проведения одной половины mitm атаки, да, те самые две команды.

Так или иначе, могу с уверенностью утверждать, что мою "атаку" никто не заметил;)