Altas inundações extremamente altas do roteador

2

Minha sub-rede é 10.162.0.0/16.
Temos um roteador com algumas interfaces.
O gateway da minha sub-rede é 10.162.0.1 .
O roteador está situado em outro prédio e não tenho acesso direto a ele. A linha do roteador chega ao meu principal comutador de camada 2 D-Link DES-3550 (10.162.0.250) e outra parte da sub-rede está conectada a este comutador.
A rede funciona bem por um curto período de tempo (5 a 20 minutos) e, em seguida, inicia o " ataque " e as repetições cíclicas.
Como " attack " parece:
através do Wireshark eu posso ver roteador (10.162.0.1) incessantemente ARP solicitando um ou casal endereços da minha sub-rede, como

10.162.0.1 Broadcast ARP 60 Who has 10.162.8.75? Tell 10.162.0.1

Mas quando eu tento pingar endereços, para qual requisição de roteador ARP, eles não respondem, então eles não estão online, ou talvez nós ainda não tenhamos esses endereços.
Eu criei um dos endereços, que foi ARPed, para o meu computador. Minha máquina respondeu ao ARPs e enviou meu mac. Mas o roteador não se importou e continuou enviando ARPs.
O roteador envia cerca de 10.000 a 25.000 ARPs por segundo. Por isso, é impossível até mesmo pingar 10.162.0.1 de qualquer computador da minha sub-rede. Algumas vezes o meu interruptor principal (10.162.0.250) não responde ao ping ou demora cerca de 3 segundos.
O ataque pára quando eu reinicio o meu switch (10.162.0.250) ou desconecto algumas das suas portas (na maioria dos casos, a desconexão das portas 10 e 11 ajudou, então talvez algo aconteça lá). Quando o próximo ataque por sua vez inicia, os pedidos ARP já são outros. Parece escolher aleatoriamente endereços para ARP.

Por que o roteador pode enviar ARPs? Pode ser um comuper de outro roteador de ataque de sub-rede? Se a fonte for um computador de nossa sub-rede, então por que o roteador envia ARP (não consegue entender isso)? Como posso resolver isso? Obrigado.

    
por Temak 20.06.2012 / 13:08

5 respostas

4

Verifique se você tem um loop.

Quando um switch recebe um pacote de broadcast (como o ARP), ele o envia por todas as portas. Se você tiver um cabo em loop (de uma porta para outra no mesmo domínio de broadcast), esse pacote volta para o switch e é transmitido novamente por todas as portas (e volta novamente, e novamente, ...).

Então, basicamente, verifique se você tem um cabo indo de uma porta para outra no mesmo switch, ou para outro switch conectado ao primeiro, e desconecte-o. Se você tiver gerenciado comutadores, deverá ativar o (r) STP para evitar tais problemas - com o STP ativado, você pode realmente obter redundância com um loop - mas quando tudo estiver funcionando corretamente, uma conexão será desativada pelo próprio comutador). / p>     

por 20.06.2012 / 13:17
1

Seu problema não é que o roteador está fazendo ARP a 25.000 pacotes por segundo, você tem um loop na topologia de sua camada ethernet 2.

Se você estiver executando spanning-tree, este é um começo decente para bloquear o loop, mas algumas condições podem fazer com que o spanning-tree permita que loops se formem (como um link ethernet unidirecional, que desativa BPDUs).

Você precisa encontrar onde o loop está. Muitas vezes é na mesa de alguém ou em uma sala de conferência onde alguém conecta dois segmentos com um hub.

Certifique-se de ter configurado Rapid Spanning-Tree ou Multiple Spanning-Tree corretamente em todos os seus switches. O controle de tempestade é útil, se o seu switch suportar isso.

    
por 20.06.2012 / 13:18
0

Bem, eu usei busca binária :) Seqüencialmente desconectei portas no meu switch principal (10.162.0.250). Então eu descobri o número do andar, onde estava o problema. Então, fazendo as mesmas ações com os interruptores no chão, encontrei o quarto. Eu não encontrei nenhum loop.
E acabou que um roteador Wi-Fi estava quebrando toda a minha rede. Eu não expliquei recentemente por que isso aconteceu. Como todas as funções desnecessárias foram desativadas, na verdade funcionava como um comutador sem fio (como uma ponte). Você tem alguma suposição sobre isso?

    
por 22.06.2012 / 01:39
0

Tive exatamente o mesmo problema. Mais de 20.000 solicitações ARP. Nenhum loop na rede. Porque foi um pico de energia que atingiu o roteador. Substituiu o roteador e o problema desapareceu.

    
por 21.09.2013 / 14:30
0

O roteador pode estar verificando endereços IP desconhecidos / autodeclarados em sua faixa de entradas DHCP, mas é mais do que provável que você tenha um dispositivo tentando se comunicar com o endereço IP 10.162.8.75 rapidamente e seu roteador está tentando para encontrar esse endereço.

Eu tive um caso em que o roteador estava enviando um spam de um intervalo de solicitações ARP para endereços IP que não existiam na LAN (10.0.0.30-10.0.0.50). Eu suspeitava que um dispositivo na rede estava tentando se comunicar com esses endereços IP. Eu espelhei o tráfego Ethernet entre o meu switch e roteador para outra porta para monitorar todas as solicitações da LAN com fio para o roteador. O culpado acabou sendo um utilitário de rede Canon Printer / Scanner que estava martelando o roteador para solicitações para esses endereços IP que não existiam.

    
por 29.12.2016 / 09:03