Windows PC като наводнения генератор ARP 13
- 06.07.16 11:15 •
- Yoda33 •
- • # 304868
- • Habrahabr
- 46 •
- 15800
- като Forbes, само по-добре.
Добър ден,% потребителско име%!
Искам да кажа, поучителен разказ, което се случи днес, аз трябва да се работи. Аз работя в една много добре позната компания, която осигурява, наред с другото, достъп до услугите на World Wide Web. И същността на моята работа е да поддържа нормалната работа на мрежата за данни. Тази мрежа се основава на класическата структура на ядрото, обобщаването, достъпа. Ключове достъп до приблизително половината производство D-Link, втори (голяма) част от Huawei. Управление на целия мрежов хардуер направи отделно Уелън, през всичко това и не го наблюдава.
Обаждане от службата за наблюдение на мрежата е добавил радост - донесе инцидента от загуба на жилищата единици. В този случай, са били докладвани на масата на оплаквания от клиенти за ограниченията при получаване на услуги. Ние дори успя да намери клиент с проблемен сектор, който отговаря на ICMP насърчаване на 0,8-ия милисекунди. Опитите да влезете в някоя Telnet табло е близко до изтезания: Свържете падане или време, или е трябвало да чака за моментите на реакцията, за да въведете име / парола и в екипа. Отчаяни, за да видите дневника на "полумъртъв" Превключване ме да изчисти съвестта ми, пострада тежко, той се рестартира. 10 секунди след преминаването старт е все още жив, весело да отговаря на заявки ICMP, но след това "пинг" пред започна да отнеме доста неприлични ценности в 800-1000-членки, а след това напълно изчезна.
Тук пред мен е да се осъзнае, че процесорите не са високи в превключватели, очевидно зарежда нещо и се появи на всички 100%. Работещи Tcpdump на VLAN-интерфейс за мониторинг на сървъра открих причината за високо натоварване на процесора върху ключа. Едно необичайно голям брой ARP управление на трафика Wilanow - няколко хиляди пакети в секунда. Причината е намерена, но ето как можете да намерите източника? Беше решено да заключите контролния Vilan върху всички пристанища агрегация, а след това го отпуснете назад, докато проблемните сегмент се намира в завой.
Успях да направя тази операция само с две възли агрегация, когато изведнъж всичко това хаос спря. Но ми се стори много подозрително, че минути по-рано колегата седеше на съседната маса, извади кабел кръпка от превключвател пристанище AC, която позволява достъп до оборудването и неговата конфигурация. Попитах един колега отново, за да свържете лаптопа си към мрежата - след 10 секунди "пинг", за да включите отново скочиха до несвятите стойности. Източникът е намерен, но на лаптопа не се използва в продължение на месец обновяване и оборудване конфигуриране на мрежата, каква би могла да се случи с него?
За да започнете, да вземе решение и да присъстват при инсталиран антивирусен софтуер, да сканира за наличие на зловреден софтуер комунални услуги от лекаря и лабораторията. Нямаше нищо съществено намерен. Опитах се да зареди Linux - Мрежови мълчи, не наводнения. Обратно изтеглили Windows - траен ефект веднага Уелан попълнено ARP наводнения. Но вчера с лаптоп всичко е наред! И тогава стигнах по някаква причина, в конфигурацията на мрежови карти ... моя колега не е често, свързани със създаването на желязо и актуализиране на софтуер върху него, така че запомни значенията на маската, и шлюза защото не можеше да управлява мрежата. И направи нещастна грешка в конфигурацията на мрежовата карта - вместо 255.255.224.0 за маска на подмрежа 255.255.254.0 на изтъкна той!
Но това, което още повече ме изненада е фактът, че въпреки очевидно неправилна конфигурация (шлюз, че е извън мрежата сегмент се дължи на неправилно определен маска), операционни системи кротко преглътна тази глупост! Превърнете вашия лаптоп в генератор на трафик ARP. Това е, което е в настройките на IPv4 протокол:
Ще Ви бъда благодарен, ако някой си направи труда да обясни механизма на настъпване на ARP наводнение в тази ситуация себе си, както аз искам да пожелая на всички професионалисти NetWorker грижи и повече време за грижи. Както се казва - мярка два пъти, нарязани веднъж.
RFC 1620 - Интернет Архитектура Разширения за Споделено Media например. Долната линия е, че днес е пълен с сценарии, при които две домакините са в една и съща L2 сегмент (SameSM), но по различен IP подмрежа (ЛИС). В същото време, един от домакините може да бъде врата към друг. За да стане това, трябва само да се уточни, че домакин на входа е с него в споделена медии, т. Е. За да го регистрирате ръчно маршрут "в интерфейса» (маршрута връзка) на или разпространява чрез DHCP опция 121
Свързани статии