Jump to content
Калькуляторы

arp flood

В последнее время участились проблемы в ести с TPLink 841N/D.

Если абонент втыкает кабель не в WAN а в LAN, то начинается флуд:

17:46:58.472593 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
17:46:58.472595 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
17:46:58.472596 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
17:46:58.472597 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
17:46:58.472599 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

ARP spoofing спасает от подмены шлюза. А подскажите, как с такими бороться на управляемых свитчах?

Может выставить какое ограничение на кол-во пакетов?

broadcast storm, у кого какие настройки используются, как вычислить threshold?

Edited by kirush

Share this post


Link to post
Share on other sites

ip (mac) source guard + dhcp snooping + Dynamic ARP Inspection не спасет?

Edited by want2know

Share this post


Link to post
Share on other sites

Хоть и прошло много времени, но вопрос всё ещё актуален.

 

Оборудование SNR S2960-24G

 

ip (mac) source guard + dhcp snooping + Dynamic ARP Inspection не спасет?

Это не спасает т.к. далеко не все клиенты получают ip по DHCP.

 

У Dlink заблокировать ARP можно так - заблокировать хождение arp для всей сети 192.168.0.0/23

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l3 14 0xFFFF  offset3 l3 16 0xFE00  profile_id 7
config access_profile profile_id 7  add access_id 1  packet_content   offset1 0x0806 offset2 0xc0a8 offset3 0x0000 port 1-28 deny

 

Как нечто подобное можно на SNR сделать?

Share this post


Link to post
Share on other sites

А если разрешить арпы только на мак шлюза , а остальные запретить?

Share this post


Link to post
Share on other sites

Сам нашел

Нужно смотреть в сторону Self-defined ACL Configuration

 

Сначала делаем шаблон в котором указываем откуда будут начинатся "окна" (есть несколько стартовых позиций и + смещение от них)

В зависимости от типа ACL окна бывают разные, короткие swin по 2 байта (FFFF) и длинные lwin по 4 (FFFFFFFF)

ВНИМАНИЕ смещение = размеру окна !!!

В access-list standard есть только короткие окна по 2 байта.

userdefined-access-list standard offset window1 l2endoftag 0 window2 l3start 7 window3 l3start 8

Далее создаем сам профиль описываем маску для окна и ожидаемое значение

userdefined-access-list standard 1200 deny any-source-mac any-destination-mac untagged-eth2 window1 806 ffff window2 c0a8 ffff window3 0 fe00

Ну и привязываем правило к порту

interface ethernet1/1-24
userdefined access-group 1200 in

 

Данный ACL блокирует все ARP из сети 192.168.0.0/23

Edited by mirk

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this