Перейти к содержимому
Калькуляторы

Как найти источник флуда, хотя бы MAC-адрес

Есть несколько коммутаторов, соединенных последовательно (цепочкой), это коммутаторы SNR-S2960, QTECH 2800 (аналог S2960) и QTECH 2900.

Некоторое время на них наблюдаются проблемы с качеством услуг.

На одном из коммутаторов (первый в цепочке) я включил anti-arpscan, после чего в консоли наблюдал такие сообщения:

%Nov 22 11:09:37 2013 IP 192.168.10.168 connected with Port Ethernet1/25 has been recovered.

%Nov 22 11:09:43 2013 IP 192.168.10.111 connected with Port Ethernet1/25 has been prohibited.

%Nov 22 11:09:43 2013 IP 192.168.24.83 connected with Port Ethernet1/25 has been prohibited.

%Nov 22 11:09:43 2013 IP 192.168.12.87 connected with Port Ethernet1/25 has been prohibited.

1/25 — это аплинк. 192.168 — это не моя сетка (у меня 10.0.).

Скорее всего это внутренняя сетка за абонентским коммутатором, которая каким-то образом (случайно или нарочно) попадает "наверх" (возможно по причине того, что какой-то из коммутаторов неправильно настроен). На коммутаторах SNR-S2960 в некоторых случаях вылезал неустранимый глюк с dhcp-snooping, когда коммутатор начинал блокировать все dhcp-пакеты; решить ее не удалось, поэтому на некоторых коммутаторах пришлось dhcp-snooping отключить, возможно флуд связан с этим.

 

Но причина — это вопрос второй. Сейчас же мне нужно найти, откуда этот флуд идет.

Указанные в логе IP-адреса мне ничего не дают. И поскольку это не мой IP-адрес, ни в какой ARP-таблице он фигурировать не будет.

Но раз уж anti-arpscan фиксирует какой-то флуд и показывает IP-адрес источника, значит он этот адрес взял из ethernet-фрейма (или из IP-датаграммы, инкапсулированной в ethernet-фрейм). И я хочу узнать MAC-адрес, указанный в заголовке ethernet-фрейма, поскольку с большой степенью вероятности в нем будет указан MAC-адрес источника флуда.

 

Как это сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть такая хрень у них.

Производил смену управляющего влана на одном большом районе и частично обновлял конфиги на коммутаторах.

На 2-х домах стоят по паре SNR-S2960-48G подключенных последовательно по оптике.

Ну вот и прописал я на них anti-arpscan. Это была пятница ...

В итоге - потерял доступ к ним полностью до перезагрузки.

При чем глюки были даже при отключеных абонентах - т.е. подключены были только по оптике между собой.

В логах не смотрел что было - просто отключил anti-arpscan и все заработало(субота, утро, пить хочется - какие нафик логи).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я сейчас тоже отключил, чтобы хоть как-то работало.

Но источник найти все же нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если вы таким образом включаете S29XX - всегда делайте

#no anti-arpscan ena

При включенной защите от сканирования арп свитч гасит порт, если с него прилетает больше чем X арп пакетов в секунду, X настраивается. И включает порт обратно через Y секунд, Y тоже настраивается. Это полезный функционал, когда у вас "гирлянд" нет на сети, а каждый свитч\дом сидит на отдельной линии. Тогда anti-arpscan позволяет фильтровать излишне деятельных абонентов и потенциальных зловредов, просто не пропуская лишние арп-запросы.

 

Ну а если источник хочется узнать, с выключенным anti-arpscan посидите с tcpdump\wireshark на нужном порту или vlan и сразу найдете.

Изменено пользователем Mallorn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у меня anti-arpscan на s2950 тупо гасил абонентов с семёркой. XP и Linux при этом работали нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

когда у вас "гирлянд" нет на сети,

Дак вот в том то и дело что чисто экономически не выгодно подводить на один дом 2 волокна с узлового коммутатора на те 2 дома где стоят "гирлянды"(Общага, конкретная ОБЩАГА).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это полезный функционал, когда у вас "гирлянд" нет на сети, а каждый свитч\дом сидит на отдельной линии.

Это полезный функционал даже если гирлянды есть. Транковые порты можно настроить как доверенные, а абонентские гасить. Но у меня на каком-то коммутаторе (или коммутаторах) это не срабатывает и сканы уходят на ядро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.