Problem s broadcasty
Dan Lukes
dan at obluda.cz
Sun Apr 8 15:12:03 CEST 2007
Bc. Radek Krejca napsal/wrote, On 04/08/07 14:48:
> Router se v tuto chvili stara jak o NAT tak i o routing, ma vnejsi
> rozhrani, na kterem jsou ip adresy internetu a na ktere se preklada
> nat, na vnitrnich rozhranich (vlanech) jsou vnitrni adresy, plus jsou
> zde vnejsi adresy serveru www a posty.
>
> toto je maly kousek rozhrani bge1, tj. vnitrniho:
>
> bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
> inet 10.0.0.1 netmask 0xfffffffc broadcast 10.0.0.3
> inet 10.100.4.1 netmask 0xffffff00 broadcast 10.100.4.255
>
> No, ve chvili, kdy si pingnu na 10.0.0.3 (kterou jsem ten provizorne
> zafirewalloval, takze jsem problem docasne vyresil), tak zacne litat
> siti srumec s mac adresou sama FFFFF... a zacne odpovidat znacne
> mnozstvi AP cek, levnych switchu, atd. O konfiguraci AP toho moc
> nepovim, jsou tam 3 policka na ip, gw a masku, nic moc navic tam neni.
Aha, klicove slovo bude, zrejme, to "levnych", budpu, zrejme levne
levne, takze pujde o problem na druhou.
Prvni problem zrejme je, ze zarizeni odpovida na broadcast, ackoliv by
uz cca osm let nemelo.
Druhy problem to uz jen dale komplikuje, protoze podle vseho zarizeni
nezkouma ani IP adresu takoveho paketu a tak nezjisti, ze ve skutecnosti
nejde vubec o jeho adresu, ani broadcastovou, ani jinou.
To neni zadna nactiutrhacnost - proste jsou v siti nejlacinejsi
zarizeni, nicmene, tato uspora si proste vyzada naklady jinde.
Zrejme to stale jde zafirewallovat, ani by to nemuselo bty tak slozite,
ale na konkretni radu schazi neco, co uz jsem psal minule, ze potrebuju ...
> Jak rikam, v tuto chvili to az takovy problem neni, protoze jsem dal
> adresu 10.0.0.3 do firewallu, jenze potrebuji sit rozdelit na vice
> natu a kdyz jsem to vcera udelal, tak se tam zacalo objevovat techto
> "utoku"? cela rada. Traffic je okolo 160 mbit za sekundu, takze loveni
> utocnika je dosti problematicke a kdyby se proste a jednoduse dalo
> zakazat sireni bc siti, tak by byl problem vyresen, dle meho.
... furt neni jasne, jak ten utok vlastne vypada - kdo pinga na co. Z
venku preci na zadne 10.0.0.3 pingnout nejde.
Takze jde o utok "zevnitr" od vasich vlastnich klientu ? Jestli ji, tak
takovemu ja bych po neuspesnem varovani proste zrusil pripojeni, to vy
predpokladam, take, takze interni to patrne nebude. Externi taky ne, tak
fakt nevim, kdo tam ty pakety posila a kam ...
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list