Чрезвычайно высокое ARP-наводнение от роутера
Моя подсеть 10.162.0.0/16.
У нас есть роутер с парой интерфейсов.
Шлюз для моей подсети - 10.162.0.1.
Маршрутизатор находится в другом здании, и у меня нет прямого доступа к нему. Линия от маршрутизатора поступает на мой основной коммутатор второго уровня D-Link DES-3550 (10.162.0.250), а другая часть подсети подключена к этому коммутатору.
Сеть работает хорошо в течение короткого промежутка времени ( 5 - 20 минут), после чего начинается "атака" и она циклически повторяется.
Как выглядит "атака":
через Wireshark я вижу маршрутизатор (10.162.0.1), непрерывно ARP запрашивающий один или несколько адресов из моей подсети, например
10.162.0.1 Broadcast ARP 60 У кого есть 10.162.8.75? Скажите 10.162.0.1
Но когда я пытаюсь пропинговать адреса, для которых маршрутизатор запрашивает ARP, они не отвечают, поэтому они не подключены к сети, или, возможно, у нас даже нет таких адресов.
Я назначил один из адресов, который был ARPed, на мой компьютер. Моя машина ответила на ARP и отправила мой mac. Но роутеру было все равно, и он продолжал посылать ARP.
Маршрутизатор отправляет около 10.000 - 25.000 ARP в секунду. Так что невозможно даже пропинговать 10.162.0.1 с любого компьютера моей подсети. Иногда мой главный выключатель (10.162.0.250) не отвечает на пинг или задержку около 3 секунд.
Атака прекращается, когда я перезагружаю свой коммутатор (10.162.0.250) или отключаю некоторые его порты (в большинстве случаев отключение 10 и 11 портов помогло, поэтому, возможно, что-то там происходит). Когда начинается очередная атака ARP, запросы уже другие. Кажется, случайный выбор адресов для ARP.
Почему маршрутизатор может отправлять ARP? Это может быть comuper от другого атакующего маршрутизатора подсети? Если источником является компьютер из нашей подсети, то почему маршрутизатор отправляет ARP (не может этого понять)? Как я могу решить это? Благодарю.
5 ответов
Проверьте, есть ли у вас петля.
Когда коммутатор получает широковещательный пакет (например, ARP), он отправляет его через все порты. Если у вас есть зацикленный кабель (от одного порта к другому в том же широковещательном домене), этот пакет возвращается на коммутатор и снова транслируется через все порты (и снова возвращается, и снова,...).
В общем, проверьте, есть ли у вас кабель, идущий от одного порта к другому на том же коммутаторе, или к другому коммутатору, подключенному к первому, и отсоедините его. Если у вас есть управляемые коммутаторы, вы должны включить (r)STP, чтобы избежать таких проблем - с включенным STP вы можете фактически достичь избыточности с помощью петли - но когда все работает правильно, одно соединение будет отключено самим коммутатором).
Ваша проблема не в том, что маршрутизатор выполняет ARP на скорости 25 000 пакетов в секунду, у вас есть петля в вашей топологии ethernet layer2.
Если вы используете spanning-tree, это неплохое начало для блокировки цикла, но некоторые условия могут привести к тому, что spanning-tree разрешит формировать циклы (например, однонаправленный канал Ethernet, который отбрасывает BPDU).
Вам нужно найти, где находится петля. Очень часто это происходит на чьем-то столе или в конференц-зале, где кто-то соединяет два сегмента с концентратором.
Убедитесь, что вы правильно настроили быстрое связующее дерево или множественное связующее дерево на всех своих коммутаторах. Контроль шторма полезен, если ваш коммутатор поддерживает его.
Ну, я использовал бинарный поиск:) Последовательно отключенные порты в моем главном коммутаторе (10.162.0.250). Итак, я узнал номер этажа, где была проблема. Затем, выполнив те же действия с переключателями на полу, я нашел комнату. Я не нашел ни одной петли.
И оказалось, что один маршрутизатор Wi-Fi сломал всю мою сеть. Я недавно не объяснил, почему он это сделал. Поскольку все ненужные функции были отключены, фактически он работал как беспроводной коммутатор (как мост). Есть ли у вас предположения об этом?
Была точно такая же проблема. Более 20000 запросов ARP. Нет петли в сети. Причиной был всплеск силы удара молнии, который испортил роутер. Заменил роутер и проблема ушла.
Маршрутизатор может проверять наличие неизвестных / самопровозглашенных IP-адресов в своем диапазоне записей DHCP, но, скорее всего, у вас есть устройство, которое пытается связаться с IP-адресом 10.162.8.75 с высокой скоростью, и ваш маршрутизатор пытается найти это адрес.
У меня был случай, когда маршрутизатор рассылал спам-запросы ARP для IP-адресов, которых не было в локальной сети (10.0.0.30-10.0.0.50). Я подозревал, что устройство в сети пытается связаться с этими IP-адресами. Я отразил трафик Ethernet между моим коммутатором и маршрутизатором на другой порт, чтобы отслеживать все запросы от проводной локальной сети к маршрутизатору. В итоге виновником стала сетевая утилита Canon Printer/Scanner, которая отбивала у маршрутизатора запросы к этим IP-адресам, которых не было.