Перейти к содержимому
Калькуляторы

ARP флуд от Zyxel / Keenetik

Ответить

MrNv   

MrNv
Опубликовано · Жалоба

Приветствую, коллеги.

Заметил на сети множественные запросы ARP от роутеров Zyxel / Keenetik, другие роутеры так себя не ведут, т.к. запросов не много от одного роутера то storm-control не срабатывает, но таких роутеров в общей массе много и некоторым коммутаторам становиться плохо. Что можно предпринять?

пример трафика, т.е. за 1 минуту 18 запросов: 

09:23:02.423366 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:05.756579 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:09.093423 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:12.426362 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:15.760404 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:19.094527 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:22.428601 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:25.762668 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:29.097494 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:32.432570 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:35.766524 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:39.103551 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:42.435588 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:45.769765 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:49.104815 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:52.438670 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:55.771669 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:59.106845 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

VolanD666   

VolanD666
Опубликовано · Жалоба
3 минуты назад, MrNv сказал:

Приветствую, коллеги.

Заметил на сети множественные запросы ARP от роутеров Zyxel / Keenetik, другие роутеры так себя не ведут, т.к. запросов не много от одного роутера то storm-control не срабатывает, но таких роутеров в общей массе много и некоторым коммутаторам становиться плохо. Что можно предпринять?

пример трафика, т.е. за 1 минуту 18 запросов: 


09:23:02.423366 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:05.756579 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:09.093423 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:12.426362 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:15.760404 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:19.094527 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:22.428601 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:25.762668 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:29.097494 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:32.432570 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:35.766524 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:39.103551 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:42.435588 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:45.769765 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:49.104815 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:52.438670 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:55.771669 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46
09:23:59.106845 28:28:5d:d4:cf:bb > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.124.1 tell 10.9.124.75, length 46

 

Дык ответ то им приходит? Или это не ваши адреса? На порту клиента шторм контрол то какой-нить натсроен?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

MrNv   

MrNv
Опубликовано · Жалоба
2 минуты назад, VolanD666 сказал:

Дык ответ то им приходит? Или это не ваши адреса? На порту клиента шторм контрол то какой-нить натсроен?

Ответ приходит, трафик на порту есть, адреса наши, 75 адрес клиента 1 адрес шлюза, storm-control не срабатывает т.к. pps не так много

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

VolanD666   

VolanD666
Опубликовано · Жалоба
2 минуты назад, MrNv сказал:

Ответ приходит

А вы точно уверены что кинетик его получает? У клиента точно все работает? Там может потери пакетов и т.п.? Странно поведение. 

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

MrNv   

MrNv
Опубликовано · Жалоба
7 минут назад, VolanD666 сказал:

А вы точно уверены что кинетик его получает? У клиента точно все работает? Там может потери пакетов и т.п.? Странно поведение.  

 

 

говорю же, трафик на порту есть, мак с порта только 1, в arp на L3 он есть. Ну и опять же это не один такой роутер

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

MrNv   

MrNv
Опубликовано · Жалоба

Взял Keenetic omni 2 на тест, сбросил конфиг, включил в сеть.

За минуту присылает 6 ARP запросов, запустил пинг со шлюза, 100т. пакетов - ни одного не потерял, при этом во время прохождения пингов запрос на ARP так же шлет 

20:47:02.756300 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:12.755521 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:22.754458 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:32.753646 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:42.752486 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46
20:47:52.752680 e4:18:6b:0a:ca:e9 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 10.9.9.1 tell 10.9.9.114, length 46

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

orlik   

orlik
Опубликовано · Жалоба

Забейте, это новомодный способ проверки живости шлюза от CPE . Наблюдал такое у некоторых вендоров, в том числе Эриксон,Хаувей да и большинство других.

Шлют arp who-has запросы раз в 2-5 секунд , отключить это не возможно.

Подкручивайте настройки на оборудовании, чтобы не срабатывали протекшены , в противном случае они начнут перезапрашивать адрес по dhcp

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Uncle_BoB   

Uncle_BoB
Опубликовано · Жалоба

orlik, прокомментируйте, пожалуйста про "новомодный способ проверки живости шлюза от CPE". Интересно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

orlik   

orlik
Опубликовано · Жалоба
On 7/4/2022 at 6:07 PM, Uncle_BoB said:

orlik, прокомментируйте, пожалуйста про "новомодный способ проверки живости шлюза от CPE". Интересно.

 

С чего вдруг ко мне вопросы по Zyxel ?  Это упоротое, китайское, не документированое добро любит делать что попало.  

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Uncle_BoB   

Uncle_BoB
Опубликовано · Жалоба

Да уже нашёл ответ в их документации. Сканируют сеть постоянно, чтоб в приложухе устройства оперативно показывать.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...