Jump to content

Сканируют сеть. Как защищаться?

dududulka
 Share

Recommended Posts

dududulka

dududulka

Posted
Posted

Добрый день. Существует такая проблема:

В сети стоят 2 Dlink DGS-3610 на котором терменируются вланы. (Настроены SuperVlan'ы)

У абонентов IPOE, белый адрес выдается по dhcp абонентам сразу. У нас /19 сеть и она поделена на 3610 примерно поровну.

(дальше уже стоят циски для интернета, у каждого айпишника своя сессия)

Несколько месяцев уже вот, наблюдаю такая картину: оба 3610 раза 2-4 в день отваливаются по управлению и у некоторых абонентов перестает работать интернет. (не у всех, а примерно у 5% пользователей) Происходит это на 2 минуты. Причем 3610 овталиваются по очереди.

 

Подключился консолью к 3610 который отваливается первым. Вижу что цпу загружено на 99.99%, больше всего стараются процесы tnet и tarptime

И сделал команду sh arp count, увидел, что в момент такого лага incomplete записей больше 100 (при нормально работе 5-20 не больше)

С помощью sh arp inc понял, что идет сканирование моей /19 сети, от сюда и понятно почему 3610 отваливаются поочереди т.к. сначало идет сканирование первой части сети которая на одном 3610, потом начинает лагать второй 3610 со второй частью сети.

На 3610 настроена функция NFPP ARP-GUARD которая срабатывает на пользователя, у которого arp 10pps. А значит я делаю вывод, что сканирование идет извне (то-есть с интернета).

 

Подскажите, что можно сделать с этим?

vurd

vurd

Posted
Posted

Уходите на 10.3. Я аггрегирую на 10.3, в той задаче где куча маков и куча арпов оно работает лучше. От NFPP вообще вред один, старый arp guard был не хуже.

s.lobanov

s.lobanov

Posted
Posted

Это одна из причин, по которой не надо использовать L3-свитчи для терминирования абонентов.

 

У cisco L3-свитчей есть обходное решение этой проблемы - создание маршрута /32 dhcp relay-agent'ом, в всё остальное в NULL0, фактически примерно тоже самое делают нормальные брасы.

 

Не знаю умеет ли так dlink 3610 и сколько вообще он поддерживает маршрутов.

 

Еще можно попросить длинк сделать фичу отключения arp who-has(если её нет) для внешних пакетов и уменьшить lease time до arp aging time, чтобы в арпе всегда что-то было для активных абонентов.

dududulka

dududulka

Posted
  • Author
Posted

кстати хочу себя немного поправить, я пока анализирую проблему и делаю вывод что скан всетаки идет не извне а внутри сети

и arp-guard тут не поможет т.к. "нарушителя" заблочит только когда он будет сканить в пределах своей /25 или /24 сети (у нас на абонентов такие)

 

но вопрос всеравно остается открытым... как же защищаться...

dududulka

dududulka

Posted
  • Author
Posted

а если на 3610 сделать ACL что-бы абоненты не могли пинговать друг друга, это поможет в том случае если сканирование идет через icmp?

или пакет будет дропаться, но 3610 всеравно сделает arp reply на destination адрес в дропнутом пакете?

AlKov

AlKov

Posted
Posted

Зеркалировать трафик на компьютер со сниффером, например.

Не единожды слышу подобный совет, а вот как его осуществить на реальной сети?

Ведь в 99,9% случаев коммутаторы, на которых необходимо зеркалировать порт, находятся не на столе админа.

И не столь редко, что и за тридевять земель.. Как быть в этом случае?

dududulka

dududulka

Posted
  • Author
Posted

в моем случае именно так

ну отсниферю я.. разберусь например с одним конкретным абонентом или поставлю acl на него

дальше все время чтоли так делать?

arseniiv

arseniiv

Posted
Posted

е единожды слышу подобный совет, а вот как его осуществить на реальной сети?

Ведь в 99,9% случаев коммутаторы, на которых необходимо зеркалировать порт, находятся не на столе админа.

И не столь редко, что и за тридевять земель.. Как быть в этом случае?

 

зеркалишь в один порт, из этого порта патчкорд в другой порт на котором access-port в специальный vlan, который идет прям к тому заветному компу со сниффером.

Нэ?

AlKov

AlKov

Posted
Posted

зеркалишь в один порт, из этого порта патчкорд в другой порт на котором access-port в специальный vlan, который идет прям к тому заветному компу со сниффером.

Нэ?

А без "перемычки" между портами никак не обойтись?

Пытаюсь решить близкую по смыслу задачу - найти свитчи, пропускающие броадкаст, который должет быть отфильтрован ACL-ом.

Под подозрение попадает вроде бы небольшой сегмент из приблизительно 5 свитчей, но проблема в том, что сеть существенно географически удалена от меня..

В принципе, найти человека на месте, который сможет обежать нужные узлы и "воткнуть патчкорд" возможно, но не хотелось бы лишний раз кого-либо напрягать, не имея полной уверенности в результате.

max1976

max1976

Posted
Posted

Не знаю как на 10.4, но на 10.3 по дефолту стоит 3 arp запроса через 5 секунд при заполнении arp таблицы. Надо настроить данные параметры, а так же настроить максимальное количество incomplete записей в arp таблице. После этих настроек нагрузка на процессор не превышает 18-20% даже в ЧНН.

dududulka

dududulka

Posted
  • Author
Posted

Не знаю как на 10.4, но на 10.3 по дефолту стоит 3 arp запроса через 5 секунд при заполнении arp таблицы. Надо настроить данные параметры, а так же настроить максимальное количество incomplete записей в arp таблице. После этих настроек нагрузка на процессор не превышает 18-20% даже в ЧНН.

а знаешь команды как это дело настраивать?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.