O que faz com que uma porta do switch receba dados não destinados a ela?

Navegue suas respostas
5

Estamos tendo uma falha intermitente que está afetando um dos nossos sistemas de controle em um dos nossos switches HP Procurve. Por alguma razão, este CLP (porta 10mbit - 192.168.6.56) que é conectado diretamente ao Switch HP inicia intermitentemente recebendo dados que não são destinados a ele. Os dados estão sendo enviados de um NAS da Thecus com o firmware mais recente (192.168.6.218) para um servidor IBM físico executando o Win2003R2 e o SAP (192.168.6.225). O problema não é apenas enviar para este servidor, mas também para outros servidores físicos no passado, mas sempre do NAS da Thecus.
Eu estou usando uma porta de monitor para wireshark o que está entrando / saindo do PLC - normalmente haveria cerca de 1mb de entrada / saída por 2 ou 3 minutos - apenas um servidor perguntando o estado das bobinas. Quando o problema ocorre, há uma inundação de dados sendo colocados na linha do CLP - nessa instância capturada, cerca de 67 MB em menos de um minuto.
Devido a isso, não há como o PLC ser consultado, pois a porta é efetivamente DOSed, por sua vez, matando parte de nossa fábrica. Eu sei que ter produção na mesma vlan como IT não é uma boa idéia - eu concordo, no entanto ela não pode ser alterada no momento (terá que esperar 3 meses), assim como o problema só começou a acontecer nos últimos 3 meses. Aqui está um limite de tela de um dos pacotes enviados do NAS da Thecus que foi capturado da porta PLC no Comutador HP:

E há mais de 700 deles neste arquivo de 1024kb.
Se alguém tem alguma idéia do que poderia estar acontecendo, alguma ajuda seria muito apreciada. Se você precisa saber mais alguma coisa, me avise!
Felicidades!

    
por user1693454 22.10.2012 / 00:57

3 respostas

1

A tabela CAM (endereço MAC) do seu switch está sobrecarregando? Em caso afirmativo, enviará tráfego para todas as portas porque não sabe qual porta deve ser usada - isso basicamente transforma o switch em um hub. Um ataque comum é inundar a tabela CAM de um roteador com endereços MAC inválidos até que a tabela CAM caia e, em seguida, cheire todo o tráfego que chega ao host atacante.

link

Isso também pode acontecer com equipamentos mal configurados. Você adicionou algo novo à sua rede na época em que isso começou?

Você pode configurar a segurança de porta na maioria dos switches HP, o que limitará o número de endereços MAC que cada porta pode aprender e atenuará o ataque:

link

    
por 07.12.2012 / 19:57
0

Certifique-se de que o tráfego é realmente proveniente do NAS da Thecus. Eu acho que alguém está falsificando o endereço MAC.

    
por 14.11.2012 / 16:58
0

Parece que há uma possível falha no Thecus, no entanto, o suporte da HP irá analisá-lo novamente quando a falha ocorrer - eles estão querendo ver se é o switch que está causando o flood ou o nas.
Eles querem ver duas capturas diferentes quando a falha ocorre: uma captura do NAS usando uma porta espelhada, bem como uma captura do switch (basta conectar o laptop ao switch e não espelhar nada) enquanto a falha acontece. br> Obrigado a todos pela ajuda!

    
por 14.11.2012 / 23:14

Tags

Coleção de área de trabalho virtual pessoal: atribuição de usuário Configurar o site do IIS para porta alternativa e receber o erro de permissão de acesso