Jump to content
Калькуляторы

IP broadcast от клиента Что это, вирус?

Один из наших продвинутых клиентов постоянно достаёт ТП жалобами на UDP флуд.

Вот часть лога его роутера

Apr/20/2012 10:59:26 [FW] **Drop Packet** IP/UDP 10.0.193.18:68->255.255.255.255:67
Apr/20/2012 10:58:42 [FW] **Drop Packet** IP/UDP 10.0.192.126:68->255.255.255.255:67

Задумался, а не справедливые ли эти претензии? Почему броадкаст идёт не от 0.0.0.0, а от уже назначенного от dhcp IP?

Флудеры подключены к DES-3200-10(18), где есть следующие ACL, имеющие отношение к dhcp и заодно к всякому прочему "мусору"

create access_profile  packet_content_mask   destination_mac FF-FF-FF-FF-FF-FF  offset1 l2 0 0xFFFF  profile_id 3
config access_profile profile_id 3  add access_id 1  packet_content   destination_mac FF-FF-FF-FF-FF-FF  offset1 0x0806 port 1-10 permit
create access_profile  packet_content_mask   offset1 l3 8 0xFF  offset2 l4 0 0xFFFF  profile_id 4
config access_profile profile_id 4  add access_id 1  packet_content   offset1 0x0011 offset2 0x0043 port 10 permit
config access_profile profile_id 4  add access_id 2  packet_content   offset1 0x0011 offset2 0x0044 port 1-9 permit
config access_profile profile_id 4  add access_id 3  packet_content   offset1 0x0011 offset2 0x0043 port 1-9 deny
config access_profile profile_id 4  add access_id 4  packet_content   offset1 0x0006 offset2 0x0087 port 1-9 deny
config access_profile profile_id 4  add access_id 5  packet_content   offset1 0x0006 offset2 0x008b port 1-9 deny
config access_profile profile_id 4  add access_id 6  packet_content   offset1 0x0006 offset2 0x0171 port 1-9 deny
config access_profile profile_id 4  add access_id 7  packet_content   offset1 0x0006 offset2 0x01bd port 1-9 deny
config access_profile profile_id 4  add access_id 8  packet_content   offset1 0x0006 offset2 0x0251 port 1-9 deny
config access_profile profile_id 4  add access_id 9  packet_content   offset1 0x0006 offset2 0x0b35 port 1-9 deny
config access_profile profile_id 4  add access_id 10  packet_content   offset1 0x0006 offset2 0x1388 port 1-9 deny
config access_profile profile_id 4  add access_id 11  packet_content   offset1 0x0011 offset2 0x0089 port 1-9 deny
config access_profile profile_id 4  add access_id 12  packet_content   offset1 0x0011 offset2 0x008a port 1-9 deny
config access_profile profile_id 4  add access_id 13  packet_content   offset1 0x0011 offset2 0x076c port 1-9 deny

Что это может быть и как с ним бороться, если нужно?

Share this post


Link to post
Share on other sites

это dhcp запросы

Share this post


Link to post
Share on other sites

DHCPINFORM

DHCPINFORM на dst 255.255.255.255 ??? Разве DHCPINFORM не серверу предназначен?

Share this post


Link to post
Share on other sites

Сам немного удивлен, но мой снифер и dhcp.log указывают на DHCPINFORM. Некоторые "виндовсы" просят странностей, и видимо им пофиг, от кого их получить.

 

This is a windows client problem. As microsoft explains: "currently, Windows 2000 and Microsoft Windows XP clients send a DHCPInform packet to obtain additional DHCP scope settings for DHCP options 06, 15, and 44"

06 is DNS Server,

15 is Domain Name

44 is the WINS Server.

The windows XP client is trying to get this data from the DHCP server, so you can reconfigure your dhcpd to provide this information.

Share this post


Link to post
Share on other sites

Хорошо.. Тогда осталось определиться, давить эти запросы, или нет?

Я так понимаю, "нормальный" DHCPINFORM мне нужен, т.к. от dhcp сервера клиент получает не только IP/MASK, но и адрес DNS сервера и некоторые маршруты.

Вопрос еще в том, каким запросом ("нормальным", или "ненормальным") считать подобное, сможет ли клиент получить все необходимое от dhcp, при подавлении таких запросов?

 

P.S. И еще - сдаётся мне, что подобные запросы шлют клиенты, которые прописали себе IP вручную, а не получили его от dhcp.

Вот выдержка из лога dhcpd по одному из таких

Apr 20 10:24:35 border dhcpd: DHCPINFORM from 10.0.193.18 via 10.0.192.1
Apr 20 10:24:35 border dhcpd: DHCPACK to 10.0.193.18 (00:13:d4:93:1f:ce) via vlan3
Apr 20 10:25:00 border dhcpd: data: "leased-address" configuration directive: there is no lease associated with this client.

В последней строке аглицким по белому значится, что лиз для этого клиента у сервера нет.

И вот еще удалось нагуглить в подтверждение этого

Информация DHCP

Сообщение информации DHCP (DHCPINFORM) предназначено для определения дополнительных параметров TCP/IP (например, адреса маршрутизатора по умолчанию, DNS-серверов и т. п.) теми клиентами, которым не нужен динамический IP-адрес (то есть адрес которых настроен вручную). Серверы отвечают на такой запрос сообщением подтверждения (DHCPACK) без выделения IP-адреса.

Может тогда перевести таких "продвинутых" в "разряд ССЗБ" и смело дропать этот мусор?

Edited by AlKov

Share this post


Link to post
Share on other sites

А как вы их задавите? Имх, если таких запросов не очень много - забить, клиенту тоже посоветовать забить, если не захочет - посадить в отдельный влан.

Можно попробовать выдавать клиентам все эти прибамбасы "чтоб отстали". Тут что-то похожее обсуждалось - http://forum.nag.ru/forum/index.php?showtopic=61006&st=0

Share this post


Link to post
Share on other sites

А как вы их задавите?

 

На все 100 не уверен, но думаю, написать ACL дропать udp с src ip 10.0.192.0/19 на dst ip 255.255.255.255 особой проблемы не будет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this