Jump to content

Множество левых пакетов ложат сеть

panther
 Share

Recommended Posts

panther

panther

Posted
Posted

У нас сетка около 200 компов. Построена на неуправляемых свичах (пока, к сожалению нет возможности перевести на управляемые). Периодически возникает такая проблема: на все компы приходят тысячи в секунду пакетов с адресами, не предназначенными этим компам. Например:

 

SourceIP: адрес в локальной сетке (не мой)

DestinationIP: адрес dns сервера провайдера

Протокол: DNS

при анализе пакета видно, что он предназначается для адсл модема провайдера.

 

или

 

SourceIP: адрес в локальной сетке (не мой)

DestinationIP: адрес в локальной сетке (не мой)

Протокол: TCP

 

Поток таких пакетов ложит всю сеть. Причём часто так получается, что пакеты идут, а источник вообще уже выключен.

 

Подскажите, пожалуйста, куда копать? Почему приходят пакеты мне не предназначенные, хотя свичи такого допускать вроде не должны (в массовом количестве, по крайней мере)? Почему такие пакеты вообще появляются, хотя источника всети уже нет?

edo

edo

Posted
Posted

переполнение мак-таблиц свитчей - тогда те начинают работать как хабы, шлют все пакеты всем?

 

возможно или "хацкер" решил сниффить сеть на свитчах или же какой-нибдь свитч глючит и начинает рассылать пакеты с левыми ip.

 

по-моему только делить сеть на сегменты управляемыми свитчами ли роутерами, локализовывать сегмент, дальше искать в нем.

Мартен

Мартен

Posted
Posted

2Nag

предлагаю пришпилить FAQ на тему: как бороться с броадкастами и флудом в сетках-помойках на мыльницах.

а то почти каждый день такая тема вылезает по-новой.

panther

panther

Posted
  • Author
Posted
переполнение мак-таблиц свитчей - тогда те начинают работать как хабы, шлют все пакеты всем?

 

возможно или "хацкер" решил сниффить сеть на свитчах или же какой-нибдь свитч глючит и начинает рассылать пакеты с левыми ip.

 

по-моему только делить сеть на сегменты управляемыми свитчами ли роутерами, локализовывать сегмент, дальше искать в нем.

Может быть вы можете привести какие-нибудь сценарии приведённых вариантов, например:

сценарий1:

1. "хацкер" посылает пакет на свич

2. свич чего-то-там

...

n. пакеты рассылаются всем компам в сети

 

Собственно интересует не только решение проблемв, но и понимание, как такое может быть.

 

 

Что глючное оборудование может творить что угодно это понятно

 

2 panther

Свитчи D-Link, Surecom?

D-Link точно есть. На счёт Surecom не уверен

 

 

2Nag

предлагаю пришпилить FAQ на тему: как бороться с броадкастами и флудом в сетках-помойках на мыльницах.

а то почти каждый день такая тема вылезает по-новой.

А можно ссылки на темы в которых есть ответы кроме

 

ставить управляемое железо и все.
"ложат" в штаны.

сеть "кладут".

да хоть ложат, хоть кладут - всё равно в такое моменты толку от неё дождаться нереально :(

Мартен

Мартен

Posted
Posted
А можно ссылки на темы в которых есть ответы кроме

 

ставить управляемое железо и все.

Просто тема пережевана и переварена уже не раз и не десять даже. Ответ все равно один получается :)
edo

edo

Posted
Posted

у каждого свитча есть таблица мак-адресов. то есть он помнит например 8000 мак-адресов - на каком порту какой. определяет это он по тому, на какой порт приходят с какими mac отправителя.

 

если у свитча нет мак-адреса получателя в таблице, то он посылает пакет на все порты, иначе только на нужный.

 

так вот, если таблица переполнена, то он может начать все пакеты пересылать на все порты.

panther

panther

Posted
  • Author
Posted
у каждого свитча есть таблица мак-адресов. то есть он помнит например 8000 мак-адресов - на каком порту какой. определяет это он по тому, на какой порт приходят с какими mac отправителя.

 

если у свитча нет мак-адреса получателя в таблице, то он посылает пакет на все порты, иначе только на нужный.

 

так вот, если таблица переполнена, то он может начать все пакеты пересылать на все порты.

Это понятно. Но после того, как он его послал он ведь по идее "забывает" про него. А если источник уже выключен, то пакетам неоткуда браться. А они всё идут и идут :(

lomatel

lomatel

Posted
Posted
"ложат" в штаны.

сеть "кладут".

Вообще-то нельзя говорить "покласть, накласть, перекласть". Только "класть".

Также неправильно "ложить". Только "Положить, наложить, переложить".

 

Как найти источник проблемы в неуправляемой сети? Делим сеть на части. То есть отключаем поочередно магистрали из центрального свитча и смотрим, когда пропадет проблема. Или делаем разрыв в середине сети, если схема последовательная. Так методом исключения и находим "больной" узел. Потом поочередно отключаем абонентов из свитча. Если не помогло, заменяем свитч.

Самое главное заранее предупредить конечных пользователей о перебоях.

ayamb

ayamb

Posted
Posted
у каждого свитча есть таблица мак-адресов. то есть он помнит например 8000 мак-адресов - на каком порту какой. определяет это он по тому, на какой порт приходят с какими mac отправителя. если у свитча нет мак-адреса получателя в таблице, то он посылает пакет на все порты, иначе только на нужный. так вот, если таблица переполнена, то он может начать все пакеты пересылать на все порты.
Добавка: Масса дешевых (хммм... - недорогих) коммутаторов, при обнаружении МАС-дубля (на одном интерфейсе, но на разных физических портах), чтобы особо не "париться", обнуляют всю свою таблицу МАС-адресов и начинают обучение заново.

P.S. В штаны срут (бывает и с особым цинизмом), а сети рожают (бывают и выкидыши). :)

Evg_icmtx

Evg_icmtx

Posted
Posted

Это было последнее сообщение Александра Ямбулатова, "Интеркомтел" Иваново (ayamb).

Александр разбился на машине в субботу 20.10.2007

Пусть всем нам он запомнится таким - с феноменальными знаниями , огромной добротой и чувством юмора

MaksMMS

MaksMMS

Posted
Posted (edited)

мои искренние соболезнования....очень неприятно встретить тут земляков при такой ситуации :(

 

з.ы. и вдвойне неприятно, что мое 500е сообщение на этом форуме получилось таким печальным :(

Edited by MaksMMS

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.