galaxy 3 Опубликовано: 2011-09-15 15:32:27 Share Опубликовано: 2011-09-15 15:32:27 Доброго времени суток! С недавнего времени появилась проблема с колличеством ARP-записей в таблице. Возникает резкий скачек кол-ва записей, н-р: с 7000 до 10000, и резкий сброс до предыдущего кол-ва, временами меньшего кол-ва записей. И в таблице порядка 6000 разных IP-адрессов с одни MAC-адрессом, интерфейс- входящий VLAN. При резком росте кол-ва ARP-записей наблюдается увеличение загрузки ядра (к которому привязана сетевая) вплоть до 100% причем по обеим интерфейсам в произвольном порядке. О сервере с Mikrotik - Core i5 2400, сетевые карты Intel Pro/1000 PT Server Adapter EXPI9400PTBLK (10/ 100/ 1000Base-T,1000Mbps,Bulk,PCI-E кол-во онлайн-пользователей - 220 - 300 На сервере под Core2Duo ббыла таже картина, т.е. железо нипречем. Не могу понять в чем дело, помогите разобраться. Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2011-09-15 15:45:56 Share Опубліковано: 2011-09-15 15:45:56 Ну єто самая обычная атака на переполнение arp таблици. Скорее всего у вас в сети кул-хацкер, но так же возможен вариант хомяк+вирус. Единоразовый вариант решения - вычислить по мак-адресу кто балуется. Если же хотите на будущее защититься то берите l2 железки с функцией защиты от arpstorm. Ссылка на сообщение Поделиться на других сайтах
galaxy 3 Опубліковано: 2011-09-15 17:13:51 Автор Share Опубліковано: 2011-09-15 17:13:51 Сеть уже перевожу на l2, скорее всего вирус+хомяк в той части что на неуправляемом железе. А как можно вычислить мак зараженной машины, по арп-таблице на микротике его неотследиш, на портах у коммутатора тоже невидно повторяющегося мак-а? Ссылка на сообщение Поделиться на других сайтах
Magus 22 Опубліковано: 2011-09-15 18:17:33 Share Опубліковано: 2011-09-15 18:17:33 Может у вас петля с другим провайдером? Ссылка на сообщение Поделиться на других сайтах
galaxy 3 Опубліковано: 2011-09-15 20:33:48 Автор Share Опубліковано: 2011-09-15 20:33:48 Может у вас петля с другим провайдером? Да нет, на резерве есть сервер Микротик с каналом на УТ, на нем такого ненаблюдается. Он тоже влкючен постоянно, рост АРП-записей на нем отсутствует. к-во записей в таблице постоянно, так-как хлмяков на нем раз-два и обчелся, подключен в ту-же сеть Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2011-09-15 22:53:20 Share Опубліковано: 2011-09-15 22:53:20 1. Каким образом при петле могут появляться arp записи с одним мак адресом и многими айпи адресами???? 2. С чего у вас мысль что если arp количество растет на одном хосте то должно рости на всех хостах что есть в сети?? Ответы: 1. К петле никак не относится. В петле может расти само количество пакетов arp. Но все они будут с одной и той же информацией, то есть с одинм и тем же mac-ip 2. arp записи образуются только на тех хостах, которые непосредственно учавствовали в обмене. Тоесть это начальный хост, конечный хост, ну или роутер, который стоял на границе сетей =) Ссылка на сообщение Поделиться на других сайтах
galaxy 3 Опубліковано: 2011-09-16 06:11:46 Автор Share Опубліковано: 2011-09-16 06:11:46 1. Каким образом при петле могут появляться arp записи с одним мак адресом и многими айпи адресами???? 2. С чего у вас мысль что если arp количество растет на одном хосте то должно рости на всех хостах что есть в сети?? Ответы: 1. К петле никак не относится. В петле может расти само количество пакетов arp. Но все они будут с одной и той же информацией, то есть с одинм и тем же mac-ip 2. arp записи образуются только на тех хостах, которые непосредственно учавствовали в обмене. Тоесть это начальный хост, конечный хост, ну или роутер, который стоял на границе сетей =) Да 2-й вариант - пограничный роутер на нем и происходит резкий рост кол-ва arp-записей. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас