Как бороться с ARP-флудерами?

0

0

Сабж. Локалка, свичи (не интеллектуальные - surecom/acorp). Бывает, вешаются свичи, отключая целые сегменты. То что вешаются не сами по себе, уверен процентов на 95 - то месяцами без проблем, то по несколько раз в час.

То ли я гуглем разучился пользоваться, то ли слово волшебное забыл.

arp-watch нашел, но это совсем не то... Hа запросы типа arp flooder тоже ничего особого...

Пытался отлавливать с помощью tcpdump (tcpdump -n arp) и одного выловил (пара сотен запросов вида arp who-has 192.168.0.<1..255> tell 192.168.0.NNN (NNN - один и тот же IP-адрес) и наказал. Hо зависания хабов не прекратились. В моменты повисаний - ничего интересного в логах.

Юзеры не особо мозговитые, сменить MAC-адрес догадается редкий, если вообще кто-нить.

Ссылка

←	стартовые скрипты rh8

pptp + radius + ms-chap - не работает

→

> Сабж. Локалка, свичи (не интеллектуальные - surecom/acorp).

поставить нормальные свичи - тот-же б/у 3СОМ более надежен и долговечен.

М.

FreeBSD ★★★
(08.03.05 17:09:19 MSK)

попробуй задать на шлюзе статическую таблицу ARP
arp -s

x97Rang ★★★
(08.03.05 18:54:49 MSK)

Ответ на: комментарий от FreeBSD 08.03.05 17:09:19 MSK

> поставить нормальные свичи - тот-же б/у 3СОМ более надежен и долговечен.

Ладно, конкретизирую. Бедная локалка.

AngryElf ★★★★★
(08.03.05 21:56:28 MSK) автор топика

Ссылка

Ответ на: комментарий от x97Rang 08.03.05 18:54:49 MSK

> попробуй задать на шлюзе статическую таблицу ARP

> arp -s

Шлюзу по барабану извращения с arp-nuke'ами, мне б надежно отслеживать и ловить тех, кто гадит...

AngryElf ★★★★★
(08.03.05 21:59:21 MSK) автор топика

Ссылка

Сколь бы бедна локалка не была, но шуреком лучше *никогда* не брать. Я сам с этим в свое время погорел.

У этих "свитчей" если их можно так назвать есть хитрая фишка: по-началу они работают нормльно, но потом начинают вешаться. Я тогда так и не установил причину. Рекомендую использовать продукцию CNet, DLink, Repotec. Они не намного дороже, но скажу точно беготня с перезагрузками и простои выливается в значительно большие деньги и гемор.

anonymous
(09.03.05 00:33:29 MSK)

Ответ на: комментарий от anonymous 09.03.05 00:33:29 MSK

> Сколь бы бедна локалка не была, но шуреком лучше *никогда* не брать. Я сам с этим в свое время погорел.

Если бы 8-портовики были заняты полностью, имело бы смысл. А так, сетка очень разбросанная (максимальная длина - под километр, ширина - копейки), а людей мало.

> У этих "свитчей" если их можно так назвать есть хитрая фишка: по-началу они работают нормльно, но потом начинают вешаться.

Высыхают конденсаторы в блоке питания. Лечится сменой кондеров. По крайней мере, меня в этом убедили. Да и питание у нас своё.

>Я тогда так и не установил причину. Рекомендую использовать продукцию CNet, DLink, Repotec. Они не намного дороже, но скажу точно беготня с перезагрузками и простои выливается в значительно большие деньги и гемор.

Да, на них и будем постепенно переходить... Сетка очень бедная, к сожалению...

Если бы те же 8-портовые dlink'и стоили хотя бы в полтора раза дороже сурекомов - брал бы без вопросов, а так - их имеет смысл брать только когда нужны 16 портовики.

AngryElf ★★★★★
(09.03.05 01:47:33 MSK) автор топика

Ответ на: комментарий от AngryElf 09.03.05 01:47:33 MSK

D-link свчити DES-1005D DES-1008D (короче пяти и восьми портовые) полное фуфло - во первых порты вылетают (причем вылетают бывает даже порты на которых люди внутри дома сидят), во вторых виснут тоже хорошо если через них много трафика(с большим колличеством адресов) проходит. А вот 16 портовые свичи у них хорошие - вообще про них уже у нас все забыли -никогда проблем не было. Свичи бралли у официального диллера D-link - левизна исключена.

Сейчас переходим с D-link(5 и 8 портовых) на Compex PS 2208B(они и стоят дешевле) - сколько их не ставили - за пол года - ещё не один не повис. И порты на них почти не вылетают, правда они с некоторыми грозозащитами не дружат(на ~15 свичах вылетело в сумме наверно пара портов). Скорость они держат очень хорошо - через 6 или 7 свичей проходит 11.3 Мбайт/сек с FTP сервера(суммарная длинна кабеля метров 500). Кстати и от флуда они не виснут(в том числе и arp), что с D-link случается.

P.S.: arp флуд может гнать ещё и Win32.LSABot (по версии Dr.Web) но там адреса случайные из подсети.

The_Ketchup ★★
(09.03.05 10:14:09 MSK)

Мой совет, постепенно меняйте свичи и избавляйтесь от Сурикома, Я сам администрирую локалку из 60 машин (тоже бедную). Покупайте лучше Компекс 8портов по 680-700р. Это лучший вариант. Сурекомы вешаются простым пингом с одной машины! К томуже у нас в сети есть два моста на ТД DWL200AP+, так они сразу вешаются как воткнуть в сеть хоть один суриком! ------ Вот такой вот каламбур :)

anonymous
(09.03.05 11:53:12 MSK)