web-dev-qa-db-ja.com

ルーターからの非常に高いarpフラッディング

私のサブネットは10.162.0.0/16です。
いくつかのインターフェースを備えたルーターがあります。
サブネットのゲートウェイは10.162.0.1です。
ルーターは別の建物にあり、直接アクセスしていません。ルーターからの回線がメインのレイヤー2スイッチD-LinkDES-3550(10.162.0.250)に到達し、サブネットの他の部分がこのスイッチに接続されています。
ネットワークは短期間(5〜20分)正常に機能し、その後「attack」を開始し、周期的に繰り返されます。
"attack"の外観:
Wiresharkを介して、router(10.162.0.1)が絶え間なくARPがサブネットから1つまたは複数のアドレスを要求しているのを見ることができます。

10.162.0.1ブロードキャストARP60 10.162.8.75を持っているのは誰ですか? 10.162.0.1に伝える

しかし、ルーターがARPを要求するアドレスにpingを実行しようとすると、応答しないため、オンラインになっていないか、そのようなアドレスがない可能性があります。
ARPされたアドレスの1つを自分のコンピューターに割り当てました。私のマシンはARPに応答し、Macを送信しました。しかし、ルーターは気にせず、ARPの送信を続けました。
ルーターは1秒あたり約10.000〜25.000ARPを送信します。したがって、サブネットのどのコンピューターからも10.162.0.1にpingを実行することはできません。メインスイッチ(10.162.0.250)がpingに応答しないか、約3秒遅れることがあります。
スイッチ(10.162.0.250)を再起動するか、一部のポートを切断すると、攻撃が停止します(ほとんどの場合、10ポートと11ポートを切断すると問題が解決したため、そこで何かが発生する可能性があります)。次の順番で攻撃が開始されると、ARP要求はすでに他のものになります。 ARPへのアドレスをランダムに選択しているようです。

ルーターがARPを送信できるのはなぜですか?それは他のサブネット攻撃ルーターからのcomuperである可能性がありますか?ソースがサブネットのコンピューターである場合、ルーターがARPを送信するのはなぜですか(これを理解できません)。どうすれば解決できますか?ありがとう。

2
Temak

ループがあるかどうかを確認してください。

スイッチがブロードキャストパケット(ARPなど)を受信すると、すべてのポートを介してパケットを送信します。 (同じブロードキャストドメイン内のあるポートから別のポートへの)ループケーブルがある場合、そのパケットはスイッチに戻り、すべてのポートを介して再度ブロードキャストされます(そして、何度も何度も戻ってきます...)。

したがって、基本的に、同じスイッチの1つのポートから別のポートに、または最初のスイッチに接続されている別のスイッチにケーブルが接続されているかどうかを確認し、ケーブルを外します。スイッチを管理している場合は、このような問題を回避するために(r)STPを有効にする必要があります-STPを有効にすると、ループで冗長性を実際に実現できます-しかし、すべてが正しく機能している場合、1つの接続でスイッチ自体によって無効にされます)。

4
mulaz

問題は、ルーターが1秒あたり25,000パケットでARPを実行していることではなく、イーサネットレイヤー2トポロジにループがあります。

スパニングツリーを実行している場合、これはループをブロックするための適切な開始ですが、条件によっては、スパニングツリーがループを形成できるようにする場合があります(BPDUをドロップする単方向イーサネットリンクなど)。

ループがどこにあるかを見つける必要があります。多くの場合、それは誰かの机の上や、誰かがハブで2つのセグメントを橋渡しする会議室にあります。

すべてのスイッチでRapidSpanning-TreeまたはMultipleSpanning-Treeが正しく設定されていることを確認してください。スイッチがストームコントロールをサポートしている場合は、ストームコントロールが役立ちます。

1
Mike Pennington

まったく同じ問題がありました。 20,000以上のARPリクエスト。ネットワークにループはありません。原因は、ルータを台無しにした雷のストライクパワースパイクでした。ルーターを交換すると、問題は解決しました。

0
Mark K.

ルーターは、DHCPエントリの範囲内で不明/自己宣言されたIPアドレスをチェックしている可能性がありますが、デバイスがIPアドレス10.162.8.75と高速で通信しようとしていて、ルーターがそれを見つけようとしている可能性があります。住所。

ルーターがLAN上に存在しないIPアドレス(10.0.0.30-10.0.0.50)に対する一連のARP要求をスパムしているケースがありました。ネットワーク上のデバイスがそれらのIPアドレスと通信しようとしているのではないかと思いました。スイッチとルーター間のイーサネットトラフィックを別のポートにミラ​​ーリングして、有線LANからルーターへのすべての要求を監視しました。犯人は、存在しなかったこれらのIPアドレスへの要求に対してルーターを攻撃していたCanon Printer/Scannerネットワークユーティリティであることになりました。

0
mroselli

さて、私はバイナリ検索を使用しました:)メインスイッチ(10.162.0.250)のポートを順次切断しました。そこで、問題があった階数を調べました。それから私が部屋を見つけた床のスイッチで同じ行動をしました。ループが見つかりません。
そして、1台のWi-Fiルーターがすべてのネットワークを破壊していることが判明しました。最近、なぜこれが行われたのか説明していません。不要な機能がすべてオフになっているため、実際にはワイヤレススイッチとして(ブリッジとして)機能していました。それについて何か思い込みはありますか?

0
Temak