форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IP шторм"

Сообщение от Figabra (ok) on 26-Фев-07, 14:36

Здравствуйте! Помогите пожалуйста решить проблему: есть Cisco 3800, настроено много клиентов со своими подсетями вида 192.168.XXX.0/24, уже второй день иногда загрузка процессора достигает 98%, смотрю sh arp | in 192.168, там безумное количество строчек Internet  192.168.15.72           0   Incomplete      ARPA Internet  192.168.16.26           0   Incomplete      ARPA Internet  192.168.5.85           0   Incomplete      ARPA Это как я понимаю скан. Не могу правильно провести диагностику, чтобы найти источник, либо каким-то образом избавиться от этой напасти. Посоветуйте плиз, что делать в таком случае?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "IP шторм"

Сообщение от ruff (ok) on 26-Фев-07, 14:42

>Здравствуйте! Помогите пожалуйста решить проблему: >есть Cisco 3800, настроено много клиентов со своими подсетями вида 192.168.XXX.0/24, уже >второй день иногда загрузка процессора достигает 98%, смотрю sh arp | >in 192.168, там безумное количество строчек >Internet  192.168.15.72           > 0   Incomplete      ARPA > >Internet  192.168.16.26           > 0   Incomplete      ARPA > >Internet  192.168.5.85           > 0   Incomplete      ARPA > >Это как я понимаю скан. Не могу правильно провести диагностику, чтобы найти >источник, либо каким-то образом избавиться от этой напасти. >Посоветуйте плиз, что делать в таком случае? если клиентских девайсов кричащих в кошак не много | если кошак раздает по дхцп адреса можно сделать arp authorized и прописать статикой маки | update arp в пуле

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "IP шторм"
	Сообщение от Figabra (ok) on 26-Фев-07, 14:48
	>>Здравствуйте! Помогите пожалуйста решить проблему: >>есть Cisco 3800, настроено много клиентов со своими подсетями вида 192.168.XXX.0/24, уже >>второй день иногда загрузка процессора достигает 98%, смотрю sh arp | >>in 192.168, там безумное количество строчек >>Internet  192.168.15.72           >> 0   Incomplete      ARPA >> >>Internet  192.168.16.26           >> 0   Incomplete      ARPA >> >>Internet  192.168.5.85           >> 0   Incomplete      ARPA >> >>Это как я понимаю скан. Не могу правильно провести диагностику, чтобы найти >>источник, либо каким-то образом избавиться от этой напасти. >>Посоветуйте плиз, что делать в таком случае? > >если клиентских девайсов кричащих в кошак не много | если кошак раздает >по дхцп адреса можно сделать arp authorized и прописать статикой маки >| update arp в пуле К сожалению клиентских машин очень много :-(. ДХЦП нет, все IP прописываются статически
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "IP шторм"
	Сообщение от ruff (ok) on 26-Фев-07, 14:52
	>>если клиентских девайсов кричащих в кошак не много | если кошак раздает >>по дхцп адреса можно сделать arp authorized и прописать статикой маки >>| update arp в пуле > >К сожалению клиентских машин очень много :-(. >ДХЦП нет, все IP прописываются статически ужос. тогда определить на каком интерфейсе идет шторм и надавать по ухам клиентам %) а источник найти - создать акл с пермитом на сканящае сети с опцией log-input и подвесить его на интерфейсы. а потом смотреть кто откуда сканит
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "IP шторм"
	Сообщение от Figabra (ok) on 26-Фев-07, 14:56
	>>>если клиентских девайсов кричащих в кошак не много | если кошак раздает >>>по дхцп адреса можно сделать arp authorized и прописать статикой маки >>>| update arp в пуле >> >>К сожалению клиентских машин очень много :-(. >>ДХЦП нет, все IP прописываются статически > >ужос. тогда определить на каком интерфейсе идет шторм и надавать по ухам >клиентам %) Вот в этом-то и заключается проблема =( Каким образом найти?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IP шторм"
	Сообщение от ruff (ok) on 26-Фев-07, 14:58
	>>>>если клиентских девайсов кричащих в кошак не много | если кошак раздает >>>>по дхцп адреса можно сделать arp authorized и прописать статикой маки >>>>| update arp в пуле >>> >>>К сожалению клиентских машин очень много :-(. >>>ДХЦП нет, все IP прописываются статически >> >>ужос. тогда определить на каком интерфейсе идет шторм и надавать по ухам >>клиентам %) > >Вот в этом-то и заключается проблема =( Каким образом найти? точнее не на сканящие а на сканимые. сканаемые. ну вобщем вы поняли %)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IP шторм"

Сообщение от Helper on 26-Фев-07, 15:11

на интерфейсах: ! no ip proxy-arp ! В роутинге проверить, что нет записей вида ! ip route <net> <netmask> FastEthernet/GigaEthernet<номер> !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "IP шторм"
	Сообщение от Figabra (ok) on 26-Фев-07, 15:27
	>на интерфейсах: >! > no ip proxy-arp >! >В роутинге проверить, что нет записей вида >! >ip route <net> <netmask> FastEthernet/GigaEthernet<номер> >! Если не затруднит, поясните пожалуйста что даст no ip proxy-arp (извините, я еще валенок в этих делах) И еще вопросик: делаю sh ip nat trans, по некоторым подсетям получаю Pro Inside global      Inside local       Outside local      Outside global tcp хх.хх.хх.хх:1087 192.168.63.6:1087  192.139.33.188:1433 192.139.33.188:1433 tcp хх.хх.хх.хх:1728 192.168.63.6:1088  65.242.77.18:139   65.242.77.18:139 tcp хх.хх.хх.хх:1728 192.168.63.6:1089  65.243.23.18:139   65.243.23.18:139 и так все порты до 4999, есть подозрение, что это один из источников скана
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "IP шторм"
	Сообщение от ruff (ok) on 26-Фев-07, 15:30
	>>на интерфейсах: >>! >> no ip proxy-arp >>! >>В роутинге проверить, что нет записей вида >>! >>ip route <net> <netmask> FastEthernet/GigaEthernet<номер> >>! > >Если не затруднит, поясните пожалуйста что даст no ip proxy-arp (извините, я >еще валенок в этих делах) >И еще вопросик: делаю sh ip nat trans, по некоторым подсетям получаю > >Pro Inside global      Inside local   >    Outside local       >Outside global >tcp хх.хх.хх.хх:1087 192.168.63.6:1087  192.139.33.188:1433 192.139.33.188:1433 >tcp хх.хх.хх.хх:1728 192.168.63.6:1088  65.242.77.18:139   65.242.77.18:139 >tcp хх.хх.хх.хх:1728 192.168.63.6:1089  65.243.23.18:139   65.243.23.18:139 > >и так все порты до 4999, есть подозрение, что это один из >источников скана ну да, ну да. похоже ктото из клиентов подхватил какого нить ворма. типа бластера или сасера. можно кстати аклом закрыть на инпуте 139й порт для неродных сетей и для остального.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "IP шторм"
	Сообщение от CompeR on 26-Фев-07, 16:27
	Надо включить netflow, и каким-нить анализаторам искать источник анамалий. Либо если клиенты включены в управляемые порты, смотреть по snmp загрузку портов. Обычно сразу видно прекосы входящий/исходящий.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "IP шторм"
	Сообщение от Figabra (ok) on 26-Фев-07, 17:10
	>Надо включить netflow, и каким-нить анализаторам искать источник анамалий. Либо если клиенты >включены в управляемые порты, смотреть по snmp загрузку портов. Обычно сразу >видно прекосы входящий/исходящий. Спасибо всем большое за ответы, после того как прописал no ip proxy-arp на интерфейсах, загрузка кошки 35% пока не прыгает (может совпадение, не знаю) Netflow включен, сижу изучаю логи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]