Jump to content

ARP флуд от Zyxel / Keenetik

MrNv
 Share

Recommended Posts

MrNv

MrNv

Posted
Posted

Приветствую, коллеги.

Заметил на сети множественные запросы ARP от роутеров Zyxel / Keenetik, другие роутеры так себя не ведут, т.к. запросов не много от одного роутера то storm-control не срабатывает, но таких роутеров в общей массе много и некоторым коммутаторам становиться плохо. Что можно предпринять?

пример трафика, т.е. за 1 минуту 18 запросов: 

09:23:02.423366 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:05.756579 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:09.093423 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:12.426362 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:15.760404 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:19.094527 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:22.428601 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:25.762668 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:29.097494 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:32.432570 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:35.766524 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:39.103551 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:42.435588 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:45.769765 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:49.104815 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:52.438670 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:55.771669 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:59.106845 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46

 

VolanD666

VolanD666

Posted
Posted
3 минуты назад, MrNv сказал:

Приветствую, коллеги.

Заметил на сети множественные запросы ARP от роутеров Zyxel / Keenetik, другие роутеры так себя не ведут, т.к. запросов не много от одного роутера то storm-control не срабатывает, но таких роутеров в общей массе много и некоторым коммутаторам становиться плохо. Что можно предпринять?

пример трафика, т.е. за 1 минуту 18 запросов: 


09:23:02.423366 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:05.756579 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:09.093423 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:12.426362 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:15.760404 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:19.094527 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:22.428601 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:25.762668 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:29.097494 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:32.432570 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:35.766524 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:39.103551 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:42.435588 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:45.769765 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:49.104815 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:52.438670 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:55.771669 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:59.106845 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46

 

Дык ответ то им приходит? Или это не ваши адреса? На порту клиента шторм контрол то какой-нить натсроен?

MrNv

MrNv

Posted
  • Author
Posted
2 минуты назад, VolanD666 сказал:

Дык ответ то им приходит? Или это не ваши адреса? На порту клиента шторм контрол то какой-нить натсроен?

Ответ приходит, трафик на порту есть, адреса наши, 75 адрес клиента 1 адрес шлюза, storm-control не срабатывает т.к. pps не так много

VolanD666

VolanD666

Posted
Posted
2 минуты назад, MrNv сказал:

Ответ приходит

А вы точно уверены что кинетик его получает? У клиента точно все работает? Там может потери пакетов и т.п.? Странно поведение. 

 

 

MrNv

MrNv

Posted
  • Author
Posted
7 минут назад, VolanD666 сказал:

А вы точно уверены что кинетик его получает? У клиента точно все работает? Там может потери пакетов и т.п.? Странно поведение.  

 

 

говорю же, трафик на порту есть, мак с порта только 1, в arp на L3 он есть. Ну и опять же это не один такой роутер

MrNv

MrNv

Posted
  • Author
Posted

Взял Keenetic omni 2 на тест, сбросил конфиг, включил в сеть.

За минуту присылает 6 ARP запросов, запустил пинг со шлюза, 100т. пакетов - ни одного не потерял, при этом во время прохождения пингов запрос на ARP так же шлет 

20:47:02.756300 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:12.755521 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:22.754458 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:32.753646 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:42.752486 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:52.752680 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46

 

orlik

orlik

Posted
Posted

Забейте, это новомодный способ проверки живости шлюза от CPE . Наблюдал такое у некоторых вендоров, в том числе Эриксон,Хаувей да и большинство других.

Шлют arp who-has запросы раз в 2-5 секунд , отключить это не возможно.

Подкручивайте настройки на оборудовании, чтобы не срабатывали протекшены , в противном случае они начнут перезапрашивать адрес по dhcp

  • 1 year later...
orlik

orlik

Posted
Posted
On 7/4/2022 at 6:07 PM, Uncle_BoB said:

orlik, прокомментируйте, пожалуйста про "новомодный способ проверки живости шлюза от CPE". Интересно.

 

С чего вдруг ко мне вопросы по Zyxel ?  Это упоротое, китайское, не документированое добро любит делать что попало.  

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.