AlKov Опубликовано 20 апреля, 2012 · Жалоба Один из наших продвинутых клиентов постоянно достаёт ТП жалобами на UDP флуд. Вот часть лога его роутера Apr/20/2012 10:59:26 [FW] **Drop Packet** IP/UDP 10.0.193.18:68->255.255.255.255:67 Apr/20/2012 10:58:42 [FW] **Drop Packet** IP/UDP 10.0.192.126:68->255.255.255.255:67 Задумался, а не справедливые ли эти претензии? Почему броадкаст идёт не от 0.0.0.0, а от уже назначенного от dhcp IP? Флудеры подключены к DES-3200-10(18), где есть следующие ACL, имеющие отношение к dhcp и заодно к всякому прочему "мусору" create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF profile_id 3 config access_profile profile_id 3 add access_id 1 packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x0806 port 1-10 permit create access_profile packet_content_mask offset1 l3 8 0xFF offset2 l4 0 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id 1 packet_content offset1 0x0011 offset2 0x0043 port 10 permit config access_profile profile_id 4 add access_id 2 packet_content offset1 0x0011 offset2 0x0044 port 1-9 permit config access_profile profile_id 4 add access_id 3 packet_content offset1 0x0011 offset2 0x0043 port 1-9 deny config access_profile profile_id 4 add access_id 4 packet_content offset1 0x0006 offset2 0x0087 port 1-9 deny config access_profile profile_id 4 add access_id 5 packet_content offset1 0x0006 offset2 0x008b port 1-9 deny config access_profile profile_id 4 add access_id 6 packet_content offset1 0x0006 offset2 0x0171 port 1-9 deny config access_profile profile_id 4 add access_id 7 packet_content offset1 0x0006 offset2 0x01bd port 1-9 deny config access_profile profile_id 4 add access_id 8 packet_content offset1 0x0006 offset2 0x0251 port 1-9 deny config access_profile profile_id 4 add access_id 9 packet_content offset1 0x0006 offset2 0x0b35 port 1-9 deny config access_profile profile_id 4 add access_id 10 packet_content offset1 0x0006 offset2 0x1388 port 1-9 deny config access_profile profile_id 4 add access_id 11 packet_content offset1 0x0011 offset2 0x0089 port 1-9 deny config access_profile profile_id 4 add access_id 12 packet_content offset1 0x0011 offset2 0x008a port 1-9 deny config access_profile profile_id 4 add access_id 13 packet_content offset1 0x0011 offset2 0x076c port 1-9 deny Что это может быть и как с ним бороться, если нужно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0ly Опубликовано 20 апреля, 2012 · Жалоба это dhcp запросы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 20 апреля, 2012 · Жалоба DHCPINFORM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 20 апреля, 2012 · Жалоба DHCPINFORM DHCPINFORM на dst 255.255.255.255 ??? Разве DHCPINFORM не серверу предназначен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 20 апреля, 2012 · Жалоба Сам немного удивлен, но мой снифер и dhcp.log указывают на DHCPINFORM. Некоторые "виндовсы" просят странностей, и видимо им пофиг, от кого их получить. This is a windows client problem. As microsoft explains: "currently, Windows 2000 and Microsoft Windows XP clients send a DHCPInform packet to obtain additional DHCP scope settings for DHCP options 06, 15, and 44"06 is DNS Server, 15 is Domain Name 44 is the WINS Server. The windows XP client is trying to get this data from the DHCP server, so you can reconfigure your dhcpd to provide this information. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 20 апреля, 2012 (изменено) · Жалоба Хорошо.. Тогда осталось определиться, давить эти запросы, или нет? Я так понимаю, "нормальный" DHCPINFORM мне нужен, т.к. от dhcp сервера клиент получает не только IP/MASK, но и адрес DNS сервера и некоторые маршруты. Вопрос еще в том, каким запросом ("нормальным", или "ненормальным") считать подобное, сможет ли клиент получить все необходимое от dhcp, при подавлении таких запросов? P.S. И еще - сдаётся мне, что подобные запросы шлют клиенты, которые прописали себе IP вручную, а не получили его от dhcp. Вот выдержка из лога dhcpd по одному из таких Apr 20 10:24:35 border dhcpd: DHCPINFORM from 10.0.193.18 via 10.0.192.1 Apr 20 10:24:35 border dhcpd: DHCPACK to 10.0.193.18 (00:13:d4:93:1f:ce) via vlan3 Apr 20 10:25:00 border dhcpd: data: "leased-address" configuration directive: there is no lease associated with this client. В последней строке аглицким по белому значится, что лиз для этого клиента у сервера нет. И вот еще удалось нагуглить в подтверждение этого Информация DHCPСообщение информации DHCP (DHCPINFORM) предназначено для определения дополнительных параметров TCP/IP (например, адреса маршрутизатора по умолчанию, DNS-серверов и т. п.) теми клиентами, которым не нужен динамический IP-адрес (то есть адрес которых настроен вручную). Серверы отвечают на такой запрос сообщением подтверждения (DHCPACK) без выделения IP-адреса. Может тогда перевести таких "продвинутых" в "разряд ССЗБ" и смело дропать этот мусор? Изменено 20 апреля, 2012 пользователем AlKov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 20 апреля, 2012 · Жалоба А как вы их задавите? Имх, если таких запросов не очень много - забить, клиенту тоже посоветовать забить, если не захочет - посадить в отдельный влан. Можно попробовать выдавать клиентам все эти прибамбасы "чтоб отстали". Тут что-то похожее обсуждалось - http://forum.nag.ru/forum/index.php?showtopic=61006&st=0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 20 апреля, 2012 · Жалоба А как вы их задавите? На все 100 не уверен, но думаю, написать ACL дропать udp с src ip 10.0.192.0/19 на dst ip 255.255.255.255 особой проблемы не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...