Назад | Перейти на главную страницу

Чрезвычайно высокий arp флуд от роутера

Моя подсеть - 10.162.0.0/16.
У нас есть роутер с парочкой интерфейсов.
Шлюз для моей подсети 10.162.0.1.
Маршрутизатор находится в другом здании, и у меня нет прямого доступа к нему. Линия от маршрутизатора идет к моему основному коммутатору уровня 2 D-Link DES-3550 (10.162.0.250), а остальная часть подсети подключена к этому коммутатору.
Сеть работает некоторое время (5-20 минут), а затем запускается "атака"и он циклически повторяется.
Как "атака"выглядит:
через Wireshark я вижу, как маршрутизатор (10.162.0.1) непрерывно ARP запрашивает один или несколько адресов из моей подсети, например

10.162.0.1 Широковещательный ARP 60 У кого 10.162.8.75? Скажите 10.162.0.1

Но когда я пытаюсь пинговать адреса, для которых маршрутизатор запрашивает ARP, они не отвечают, поэтому они не в сети, или, возможно, у нас даже нет таких адресов.
Я назначил своему компьютеру один из адресов, который был ARPed. Моя машина ответила на запросы ARP и отправила мой Mac. Но маршрутизатору было все равно, и он продолжал отправлять ARP.
Маршрутизатор отправляет около 10 000 - 25 000 ARP в секунду. Таким образом, невозможно даже пинговать 10.162.0.1 с любого компьютера в моей подсети. Иногда мой главный выключатель (10.162.0.250) не отвечает на пинг или задерживает около 3 секунд.
Атака прекращается, когда я перезагружаю свой коммутатор (10.162.0.250) или отключаю некоторые его порты (в большинстве случаев помогало отключение 10 и 11 портов, так что, возможно, там что-то происходит). Когда начинается следующая по очереди атака, запросы ARP уже другие. Вроде случайно выбирает адреса для ARP.

Почему маршрутизатор может отправлять ARP? Может это комупер от атакующего маршрутизатора другой подсети? Если источником является компьютер из нашей подсети, то почему маршрутизатор отправляет ARP (не могу этого понять)? Как я могу это решить? Спасибо.

Проверьте, есть ли у вас петля.

Когда коммутатор получает широковещательный пакет (например, ARP), он отправляет его через все порты. Если у вас есть замкнутый кабель (от одного порта к другому в том же широковещательном домене), этот пакет возвращается к коммутатору и снова транслируется через все порты (и возвращается снова и снова, ...).

Итак, в основном, проверьте, идет ли у вас кабель от одного порта к другому на том же коммутаторе или к другому коммутатору, подключенному к первому, и отключите его. Если у вас есть управляемые коммутаторы, вы должны включить (r) STP, чтобы избежать таких проблем - с включенным STP вы действительно можете достичь избыточности с помощью цикла - но когда все работает правильно, одно соединение будет отключено самим коммутатором).

Ваша проблема не в том, что маршрутизатор передает ARP со скоростью 25 000 пакетов в секунду, у вас есть петля в топологии Ethernet-уровня 2.

Если вы используете связующее дерево, это неплохое начало для блокировки цикла, но некоторые условия могут привести к тому, что связующее дерево позволит формировать петли (например, однонаправленное соединение Ethernet, которое отбрасывает BPDU).

Вам нужно найти, где находится петля. Очень часто это происходит на чьем-то столе или в конференц-зале, где кто-то соединяет два сегмента с помощью хаба.

Убедитесь, что вы правильно настроили Rapid Spanning-Tree или Multiple Spanning-Tree на всех своих коммутаторах. Storm-контроль полезен, если ваш коммутатор его поддерживает.

Была точно такая же проблема. 20000+ запросов ARP. Нет петли в сети. Причиной был всплеск мощности удара молнии, который повредил маршрутизатор. Заменил роутер и проблема ушла.

Ну, я использовал бинарный поиск :) Последовательно отключенные порты в моем главном коммутаторе (10.162.0.250). Так я узнал номер этажа, на котором была проблема. Затем, проделав те же действия с переключателями на полу, я нашел комнату. Я не нашел ни одной петли.
И выяснилось, что один Wi-Fi роутер ломал всю мою сеть. Я недавно не объяснял, почему он это сделал. Поскольку все ненужные функции были отключены, фактически он работал как переключатель беспроводной сети (как мост). Есть ли у вас какие-нибудь предположения по этому поводу?

Маршрутизатор может проверять неизвестные / самопровозглашенные IP-адреса в своем диапазоне записей DHCP, но более чем вероятно, что у вас есть устройство, которое пытается связаться с IP-адресом 10.162.8.75 на высокой скорости, и ваш маршрутизатор пытается найти это адрес.

У меня был случай, когда маршрутизатор рассылал спам ряд запросов ARP для IP-адресов, которых не было в локальной сети (10.0.0.30-10.0.0.50). Я подозревал, что устройство в сети пытается связаться с этими IP-адресами. Я зеркалировал трафик Ethernet между моим коммутатором и маршрутизатором на другой порт, чтобы отслеживать все запросы из проводной локальной сети к маршрутизатору. Виновником оказалась сетевая утилита Canon Printer / Scanner, которая забивала маршрутизатор на запросы к этим несуществующим IP-адресам.