Здравствуйте! Помогите пожалуйста решить проблему:
есть Cisco 3800, настроено много клиентов со своими подсетями вида 192.168.XXX.0/24, уже второй день иногда загрузка процессора достигает 98%, смотрю sh arp | in 192.168, там безумное количество строчек
Internet 192.168.15.72 0 Incomplete ARPA
Internet 192.168.16.26 0 Incomplete ARPA
Internet 192.168.5.85 0 Incomplete ARPA
Это как я понимаю скан. Не могу правильно провести диагностику, чтобы найти источник, либо каким-то образом избавиться от этой напасти.
Посоветуйте плиз, что делать в таком случае?
>Здравствуйте! Помогите пожалуйста решить проблему:
>есть Cisco 3800, настроено много клиентов со своими подсетями вида 192.168.XXX.0/24, уже
>второй день иногда загрузка процессора достигает 98%, смотрю sh arp |
>in 192.168, там безумное количество строчек
>Internet 192.168.15.72
> 0 Incomplete ARPA
>
>Internet 192.168.16.26
> 0 Incomplete ARPA
>
>Internet 192.168.5.85
> 0 Incomplete ARPA
>
>Это как я понимаю скан. Не могу правильно провести диагностику, чтобы найти
>источник, либо каким-то образом избавиться от этой напасти.
>Посоветуйте плиз, что делать в таком случае?если клиентских девайсов кричащих в кошак не много | если кошак раздает по дхцп адреса можно сделать arp authorized и прописать статикой маки | update arp в пуле
>>Здравствуйте! Помогите пожалуйста решить проблему:
>>есть Cisco 3800, настроено много клиентов со своими подсетями вида 192.168.XXX.0/24, уже
>>второй день иногда загрузка процессора достигает 98%, смотрю sh arp |
>>in 192.168, там безумное количество строчек
>>Internet 192.168.15.72
>> 0 Incomplete ARPA
>>
>>Internet 192.168.16.26
>> 0 Incomplete ARPA
>>
>>Internet 192.168.5.85
>> 0 Incomplete ARPA
>>
>>Это как я понимаю скан. Не могу правильно провести диагностику, чтобы найти
>>источник, либо каким-то образом избавиться от этой напасти.
>>Посоветуйте плиз, что делать в таком случае?
>
>если клиентских девайсов кричащих в кошак не много | если кошак раздает
>по дхцп адреса можно сделать arp authorized и прописать статикой маки
>| update arp в пулеК сожалению клиентских машин очень много :-(.
ДХЦП нет, все IP прописываются статически
>>если клиентских девайсов кричащих в кошак не много | если кошак раздает
>>по дхцп адреса можно сделать arp authorized и прописать статикой маки
>>| update arp в пуле
>
>К сожалению клиентских машин очень много :-(.
>ДХЦП нет, все IP прописываются статическиужос. тогда определить на каком интерфейсе идет шторм и надавать по ухам клиентам %)
а источник найти - создать акл с пермитом на сканящае сети с опцией log-input и подвесить его на интерфейсы. а потом смотреть кто откуда сканит
>>>если клиентских девайсов кричащих в кошак не много | если кошак раздает
>>>по дхцп адреса можно сделать arp authorized и прописать статикой маки
>>>| update arp в пуле
>>
>>К сожалению клиентских машин очень много :-(.
>>ДХЦП нет, все IP прописываются статически
>
>ужос. тогда определить на каком интерфейсе идет шторм и надавать по ухам
>клиентам %)Вот в этом-то и заключается проблема =( Каким образом найти?
>>>>если клиентских девайсов кричащих в кошак не много | если кошак раздает
>>>>по дхцп адреса можно сделать arp authorized и прописать статикой маки
>>>>| update arp в пуле
>>>
>>>К сожалению клиентских машин очень много :-(.
>>>ДХЦП нет, все IP прописываются статически
>>
>>ужос. тогда определить на каком интерфейсе идет шторм и надавать по ухам
>>клиентам %)
>
>Вот в этом-то и заключается проблема =( Каким образом найти?
точнее не на сканящие а на сканимые. сканаемые. ну вобщем вы поняли %)
на интерфейсах:
!
no ip proxy-arp
!
В роутинге проверить, что нет записей вида
!
ip route <net> <netmask> FastEthernet/GigaEthernet<номер>
!
>на интерфейсах:
>!
> no ip proxy-arp
>!
>В роутинге проверить, что нет записей вида
>!
>ip route <net> <netmask> FastEthernet/GigaEthernet<номер>
>!Если не затруднит, поясните пожалуйста что даст no ip proxy-arp (извините, я еще валенок в этих делах)
И еще вопросик: делаю sh ip nat trans, по некоторым подсетям получаю
Pro Inside global Inside local Outside local Outside global
tcp хх.хх.хх.хх:1087 192.168.63.6:1087 192.139.33.188:1433 192.139.33.188:1433
tcp хх.хх.хх.хх:1728 192.168.63.6:1088 65.242.77.18:139 65.242.77.18:139
tcp хх.хх.хх.хх:1728 192.168.63.6:1089 65.243.23.18:139 65.243.23.18:139и так все порты до 4999, есть подозрение, что это один из источников скана
>>на интерфейсах:
>>!
>> no ip proxy-arp
>>!
>>В роутинге проверить, что нет записей вида
>>!
>>ip route <net> <netmask> FastEthernet/GigaEthernet<номер>
>>!
>
>Если не затруднит, поясните пожалуйста что даст no ip proxy-arp (извините, я
>еще валенок в этих делах)
>И еще вопросик: делаю sh ip nat trans, по некоторым подсетям получаю
>
>Pro Inside global Inside local
> Outside local
>Outside global
>tcp хх.хх.хх.хх:1087 192.168.63.6:1087 192.139.33.188:1433 192.139.33.188:1433
>tcp хх.хх.хх.хх:1728 192.168.63.6:1088 65.242.77.18:139 65.242.77.18:139
>tcp хх.хх.хх.хх:1728 192.168.63.6:1089 65.243.23.18:139 65.243.23.18:139
>
>и так все порты до 4999, есть подозрение, что это один из
>источников скана
ну да, ну да. похоже ктото из клиентов подхватил какого нить ворма. типа бластера или сасера.можно кстати аклом закрыть на инпуте 139й порт для неродных сетей и для остального.
Надо включить netflow, и каким-нить анализаторам искать источник анамалий. Либо если клиенты включены в управляемые порты, смотреть по snmp загрузку портов. Обычно сразу видно прекосы входящий/исходящий.
>Надо включить netflow, и каким-нить анализаторам искать источник анамалий. Либо если клиенты
>включены в управляемые порты, смотреть по snmp загрузку портов. Обычно сразу
>видно прекосы входящий/исходящий.Спасибо всем большое за ответы, после того как прописал no ip proxy-arp на интерфейсах, загрузка кошки 35% пока не прыгает (может совпадение, не знаю)
Netflow включен, сижу изучаю логи.