SSDP UDF Flood

[Majklik]

Dobre, takźe aby to nebolo dosť zamotané, pridávam dnešné poznatky.

1) V prílohe posielam screenshoty, kde je jasne vidieť že každý koncový PC má vyťažený ethernet interface na 100% pri tých "búrkach".

To se dalo očekávat a je to normální stav. Měl jsi dělat to, že se podíváš co je aktuálně zdroj těch paketů, a to ne dle zdrojové IP, ale dle zdrojové MAC adresy, najít počítač s danou MAC a pomocí wireshark se podívat, zda ty pakety posílá. Pokud ne, tak máš potvrzeno, že nejde o SSTP flood attack. Navíc se můžeš podívat dovnitř toho SSDP provozu, pokud by mělo jít o attack, tak tam bude search * příkaz, v případě smyčky spíše půjde o něco jiného - adverstiment a podobné.

2) Dnes som v Mikrotik logu našiel hlášku (viď. prílohu screenshotov), ktorá potvrdzuje loopback: ether1 excessive broadcasts / multicasts, probably a loop. Čiže fakt to vyzerá skôr na loopback, ako na SSDP flood, ako som predpokladal.

Tu hlášku to dá vždy, když je moc broadcastu/multicastu, ať je to fakt smyčka nebo to tam bude tlačit programově.

3) Na druhej strane môžem 2. bod vyvrátiť pretože: skúsil som spraviť ja slučku priamo s ethernetovým káblom. Mohol som robiť čokoľvek, prepájať jeden switch s druhým. navzájom aj medzi sebou (OmniStack s OmniSwitchom) no žiadnu slučku sa mi nepodarilo spraviť, pingy aj dáta tiekli v poriadku, žiadne zauzlenia, nič. Čiže tie switche majú zrejme ochranu proti smyčkám.

Nevyloučil jsi nic. Jediné, co jsi potvrdil, že ty switche mají STP/RSTP/MSTP (což mají) a je zapnuté. Udělal jsi kruh mezi switchi nebo i propojil dva sousední porty na switchi, což vše normálně STP like protokoly ošetří, pokud jsou aktivní na daných portech. Nic to neříká o tom, zda switch umí ošetřit smyčku v rámci jendoho portu. A datasheet takoovou funkci neuvádí.
To otestuješ jak psal ludvík - vezmeš nějaký malý blbej swithc za pár stovek, na něm propoíš dva sousední porty a pak třetím portem to připojíš k těm Alcetelům a uvidíš.

Jinak ty switche dle datashetu maji storm control, ten ale není evidentně nastaven.

Ďalej som skúsil postupovať podľa rád. Odpojil som polovicu školy, ale aj tak sa loopbacky objavili. Tak som odpájal ďalej, až kým neprestali. Avšak, keď som potom pripojil všetko naspäť, viac sa tie loopbacky neobjavili, všetko utíchlo. Čakal som tam asi 40 minút; torch aj pingy boli úplne v poriadku.

Po rozpůlení musíš chvilku počkat a pak se podívat do obou půlek sítě, zda se to v ní ještě motá nebo už to zdechlo.

[eKrajnak]

To se dalo očekávat a je to normální stav. Měl jsi dělat to, že se podíváš co je aktuálně zdroj těch paketů, a to ne dle zdrojové IP, ale dle zdrojové MAC adresy, najít počítač s danou MAC a pomocí wireshark se podívat, zda ty pakety posílá. Pokud ne, tak máš potvrzeno, že nejde o SSTP flood attack. Navíc se můžeš podívat dovnitř toho SSDP provozu, pokud by mělo jít o attack, tak tam bude search * příkaz, v případě smyčky spíše půjde o něco jiného - adverstiment a podobné.

Hej to ma nenapadlo. Urobím to najbližšie ako sa zase problém objaví.

Nevyloučil jsi nic. Jediné, co jsi potvrdil, že ty switche mají STP/RSTP/MSTP (což mají) a je zapnuté. Udělal jsi kruh mezi switchi nebo i propojil dva sousední porty na switchi, což vše normálně STP like protokoly ošetří, pokud jsou aktivní na daných portech. Nic to neříká o tom, zda switch umí ošetřit smyčku v rámci jendoho portu. A datasheet takoovou funkci neuvádí.
To otestuješ jak psal ludvík - vezmeš nějaký malý blbej swithc za pár stovek, na něm propoíš dva sousední porty a pak třetím portem to připojíš k těm Alcetelům a uvidíš.

Jinak ty switche dle datashetu maji storm control, ten ale není evidentně nastaven.

To máš pravdu, spájal som dva susedné porty, nič viac. Musím teda skutočne skúsiť nejaký tupý switch. Inak na škole sú asi v 2 učebniach ešte nejaké kovové switche (myslím 12 portové) musím pozrieť aj tie.

Po rozpůlení musíš chvilku počkat a pak se podívat do obou půlek sítě, zda se to v ní ještě motá nebo už to zdechlo.

To som čakal .. asi 5 minút zakaždým. A vždy som skúsil Tools -> Ping flood na bránu, IPčky počítačov aj broadcast (10.11.22.255, 235.255.255.255). No nič sa nedialo.



EDIT: Okej tak teda už viem čoto znamená jednoportová smyčka Prepojil som RB2011 s gigovým portom do TP-Link gigabytové switcha. Fúúú, keď sa to rozblikalo tak teda. RB2011 zmrzol, ale sám sa zotavil za pár sekúnd. Stihol zmerať 109kpps a potom Disconnected. Sranda je, že ten switch loopbackoval pakety, aj keď som ho odpojil od RB2011tky.

[Dalibor Toman]

Ty OminiSwitche 6850 neznam ale podle dokumentu, co jsem nasel na netu STP i RSTP umi. Zda je zapnute netusim. Ze zajimavych feature umi jeste podle toho PDFka i 'Broadcast storm control', takze by melo jit zarazit ty bourky bud bloknutim portu nebo limitem propoustenych broadcastu/multicastu (pokud to ten switch umi).

Taky by ty switche mely byt manageovatelene pres seriovou konzoli i pres ethernet CLI a webovou konzolu a umi i SNMP. Pokud to tak fakt je tak bych nelenil a na nejakem serveru rozebehl mereni prenesenych dat na portu (flow, unicasty, non-unicasty, errory,...) a pokud pri bource pujde alespon obcas vycist data bude z grafu videt, od kud to jde. Nastavil bych na vsech portech storm-control, pokud umi limitovat max mnozstvi broadcastu a unicastu za sekundu (na dejme tomu 300pkt/s ) - tim se dosahne toho, ze bourka nezpusobi problemy.
Taky bych zkontroloval jak je na tom ten ten spanning tree - zda je povoleny a funguje jak ma.

[eKrajnak]

Hej, yo vsetko by bolo super, ale ten OmniSwitch ma pripojene len: 2 OmniStack switche, server a nejake VIP zasuvky v skole. Cize sluzi ako chrbtica. Vsetky endpoint zasuvky vedu z tohi OmniStack LS6248

[Dalibor Toman]

Hej, yo vsetko by bolo super, ale ten OmniSwitch ma pripojene len: 2 OmniStack switche, server a nejake VIP zasuvky v skole. Cize sluzi ako chrbtica. Vsetky endpoint zasuvky vedu z tohi OmniStack LS6248

podle toho co vidim na netu (Alcatel OS-LS-6200 User Guide) by i ten OmniStack LS6248 mel umet SNMP, RSTP, storm-control i telnet management. Ale mozna koukam do spatnych PDFek...