Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Gleb Smirnoff                        2:5020/400     10 Apr 2004  12:58:50
 To : Denis Sotchenko
 Subject : Re: arp
 -------------------------------------------------------------------------------- 
 
 Denis Sotchenko <Denis.Sotchenko@p112.f118.n5020.z2.fidonet.org> wrote:
 
  DS>>> p.s. отрывание яиц гадёнышу советовать не стоит - сам знаю =)
  DS>>> интересны именно превентивные меры на будущее.
  AVZ>> а как-нить можно определить, кто это делает?
 
 DS>      Управляемыми свичами.  Расставили их несколько штук, выявили.
 
 DS>      А теперь самое интересное: виновником оказался дохлый свич у
 DS> юзера.  Он никак себя не проявляет, судя по tcpdump'у - никакого
 DS> подозрительного траффика нет.  Hикто с таким не сталкивался?
 DS> Я уже всю голову сломал размышлениями, как может свич в одном
 DS> конце сегмента мешать соединению двух компов в другом конце...
 
 Денис, от тебя не ожидал. Рассказываю механизм, которому пора в FAQ:
 
 Когда любой Ethernet свитч получает пакет от адреса A на адрес B
 на порту X, и если адрес A не принадлежит к мультикастовой/броадкастовой
 группе, то свитч записывает в свою forwarding database, что адрес A достигаем
 посылкой пакеты на порт X.
 Это свойство свитчей позволяет очень легко устроить DoS. Если я пошлю броадкаст
 пакет с адресом A, то изменю forwarding database всех свитчей таким образом, что
 они будут посылать пакеты адресуемые A в направлении меня.
 
 (В качестве proof of concept я написал netgraph ноду, которая отражает любой
 ARP запрос обратно в Ethernet. Как результат - не работает ARP в сети и через
 некоторое время не работает ничего. Аналогично я пробовал отражать PADI пакеты
 и таким образом DoSил PPPoE. Hапомню, что PADI и ARP who has являются
 броадкастами)
 
 Таким образом работают все свитчи, даже управляемые. Разница в том, что у
 управляемых
 можно посмотреть как перестраивается fib.
 
 Теперь про твою беду: иногда дешевые свитчи сгорают таким образом, что начинают
 действовать следующим образом: при получении броадкаста на порт X, они отсылают 
 его
 на все порты, вместо того, что бы послать на все порты кроме X. Результат таков:
 ARP запрос успешно доставляется тому, кто на него должен ответить. Пока ядро ОС
 генерирует и отсылает ARP ответ, "больной" свитч успевает отослать пакет назад и
 все свитчи "думают" что отправитель броадкаста находится за больным свитчом.
 Когда
 ARP ответ высылается, то он не доставляется по назначению, он уходит на
 "больной"
 свитч.
 
 P.S. Согласно нашему опыту (ГЗ МГУ) наиболее подвержены этому Cnet.
 P.P.S. Кто ведет opennet, мб запостите в FAQ? Hа unixfaq постить без мазы, тк
 совсем не
 unix.
 
 -- 
 Totus tuus, Glebius.
 GLEBIUS-RIPN GLEB-RIPE
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 arp   Denis Sotchenko   06 Apr 2004 00:48:23 
 Re: arp   Alexander V. Zinin   06 Apr 2004 11:41:00 
 arp   Denis Sotchenko   09 Apr 2004 23:02:04 
 Re: arp   Gleb Smirnoff   10 Apr 2004 12:58:50 
 arp   Denis Sotchenko   10 Apr 2004 15:57:26 
 Re: arp   Gleb Smirnoff   10 Apr 2004 19:17:29 
 arp   Denis Sotchenko   11 Apr 2004 01:15:39 
 Re: arp   Gleb Smirnoff   11 Apr 2004 13:29:37 
 arp   Denis Sotchenko   11 Apr 2004 15:26:00 
 Re: arp   Gleb Smirnoff   12 Apr 2004 01:29:46 
 Re: arp   Andy Bogdanov   12 Apr 2004 15:38:11 
 arp   Yuri PQ   12 Apr 2004 19:21:50 
 Re: arp   Andy Bogdanov   12 Apr 2004 18:35:24 
 arp   Yuri PQ   12 Apr 2004 22:39:26 
 Re: arp   Andy Bogdanov   13 Apr 2004 12:04:47 
 arp   Yuri PQ   13 Apr 2004 18:00:58 
 Re: arp   Andy Bogdanov   13 Apr 2004 19:11:13 
 arp   Denis Sotchenko   12 Apr 2004 11:10:51 
 arp   Yuri PQ   12 Apr 2004 12:26:00 
 Re: arp   Gleb Smirnoff   12 Apr 2004 12:06:38 
 arp   Yuri PQ   12 Apr 2004 12:21:00 
 arp   Denis Sotchenko   13 Apr 2004 11:48:56 
 Re: arp   Gleb Smirnoff   13 Apr 2004 16:28:49 
 arp   Denis Sotchenko   13 Apr 2004 22:08:54 
 arp   Yuri PQ   13 Apr 2004 22:39:38 
 arp   Denis Sotchenko   13 Apr 2004 22:08:10 
 arp   Yuri PQ   14 Apr 2004 16:28:36 
 arp   Denis Sotchenko   21 Apr 2004 10:34:37 
 arp   Yuri PQ   22 Apr 2004 17:46:14 
 Re: arp   Valentin Nechayev   10 Apr 2004 20:30:26 
 arp   Andrew Alcheev   12 Apr 2004 16:20:00 
 Re: arp   Gleb Smirnoff   12 Apr 2004 15:44:35 
 arp   Slawa Olhovchenkov   12 Apr 2004 15:39:50 
 Re: arp   Gleb Smirnoff   12 Apr 2004 16:20:53 
 arp   Slawa Olhovchenkov   12 Apr 2004 16:32:14 
 Re: arp   Gleb Smirnoff   12 Apr 2004 17:16:23 
 arp   Slawa Olhovchenkov   12 Apr 2004 18:41:46 
 Re: arp   Gleb Smirnoff   12 Apr 2004 19:07:48 
 Re: arp   Valentin Davydov   14 Apr 2004 09:14:06 
 Re: arp   Gleb Smirnoff   14 Apr 2004 11:06:38 
 arp   Slawa Olhovchenkov   14 Apr 2004 12:35:56 
 Re: arp   Gleb Smirnoff   14 Apr 2004 12:54:07 
 arp   Denis Sotchenko   14 Apr 2004 11:44:34 
 arp   Yuri PQ   12 Apr 2004 12:17:34 
 Re: arp   Andy Bogdanov   12 Apr 2004 15:13:08 
 Re: arp   Eugene Grosbein   06 Apr 2004 15:50:25 
 arp   Yuri PQ   06 Apr 2004 14:13:12 
Архивное /ru.unix.bsd/657749ba07e9.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional