Хорошо

Атака

Опубликовано 2020-10-29 22:29:30Последний ответ окт 30, 2020 19:45:29 403 7 0 0 0
  Награжденные Форбаллы: 0 (Проблема решена)

Добрый день!

На днях в одной организаций установили коммутатор S5720-32X-EI-24S-AC(V200R019C10SPC500B339). Коммутатор настроено как центральный коммутатор (Core). Вилан интерфейсы, статистический маршруты и т.д. Через день пользователи жаловались, что у них в компьютере почти все сервисы медленно открывает, даже иногда не открывает. Начали разбираться, выяснили что почти все компьютеры в сети за вирусованный. А у коммутатора S5720-32X-EI-24S-AC есть какой то защита. Вопрос: Что за защита? как он работает? Как настраивается? Можно ли пока эту защиту отключить? Просто ребята не успевают проверит все компьютеры. PC примерно 100. Если да, то как? Во вложение есть логи. Пожалуйста помогите! Заранее спасибо!


Вложение: Требуется войти для загрузки или просмотра. Нет аккаунта? Register
  • x

Избранные ответы
user_2909167
Модератор Опубликовано 2020-10-29 22:37:01

Добрый день
Коммутаторы S5720 не имеют встроенных механизмов по фильрации траффика на предмет вирусов.  Таким функционалом обладают файрволы серии USG на которых есть функции (при наличии соответствующих лицензий) антивирусной проверки траффика, защиты от атак и тп, что дополняет комплексную защиту корпоративной сети наряду с антивирусным ПО на ПК пользователей.
https://e.huawei.com/ru/products/enterprise-networking/security

спасибо

Развернуть
  • x

Galym
Galym Опубликовано 2020-10-30 07:17 (0) (0)
Здравствуйте!
Я тоже думал что коммутатор это коммутатор. Но в логах, если Вы смотрели, есть (%%01SECE/4/SPECIFY_SIP_ATTACK(l)[1986]:The specified source IP address attack occurred. (Slot=MPU, SourceAttackIP=10.10.210.116, AttackProtocol=ARP, AttackPackets=80 packets per second) и другие виды атак. Что это?  
Все ответы
user_2909167
user_2909167 Модератор Опубликовано 2020-10-29 22:37:01

Добрый день
Коммутаторы S5720 не имеют встроенных механизмов по фильрации траффика на предмет вирусов.  Таким функционалом обладают файрволы серии USG на которых есть функции (при наличии соответствующих лицензий) антивирусной проверки траффика, защиты от атак и тп, что дополняет комплексную защиту корпоративной сети наряду с антивирусным ПО на ПК пользователей.
https://e.huawei.com/ru/products/enterprise-networking/security

спасибо

Развернуть
  • x

Galym
Galym Опубликовано 2020-10-30 07:17 (0) (0)
Здравствуйте!
Я тоже думал что коммутатор это коммутатор. Но в логах, если Вы смотрели, есть (%%01SECE/4/SPECIFY_SIP_ATTACK(l)[1986]:The specified source IP address attack occurred. (Slot=MPU, SourceAttackIP=10.10.210.116, AttackProtocol=ARP, AttackPackets=80 packets per second) и другие виды атак. Что это?  
user_2909167
user_2909167 Модератор Опубликовано 2020-10-30 09:27:42
Добрый день
Эти лог сообщения связаны с защитой ресурсов самого свитча от сетевых атак или большого числа сообщений которые должны обрабатываться на CPU и тем самым могут исчерпать его ресурсы, что негативно отразиться на control plane устройства.
прилагаю ссылки на документацию
https://support.huawei.com/hedex/hdx.do?docid=EDOC1000177841&id=asece_specify_sip_attack&lang=en
https://support.huawei.com/hedex/hdx.do?docid=EDOC1000177841&id=dc_s_sec_enhance_0081_new&lang=en
https://support.huawei.com/hedex/hdx.do?docid=EDOC1000177841&id=dc_sec_hardening_new&lang=en
https://support.huawei.com/hedex/pages/EDOC1000177841AEG11278/12/EDOC1000177841AEG11278/12/resources/dc/display_auto-defend_attack-source.html
Развернуть
  • x

Galym
Galym Опубликовано 2020-10-30 10:46:58
Большое спасибо за ответ @user_2909167 ! Еще вопрос: может ли быть из за защитой ресурсов свича у пользователи медленно открывается сервисы или интернет. Если да как мне доказать заказчику что это защита свича, т.е. могу ли отключить защиту и проверить от пользователя сервисы или интернет. И потом обратно включить защиту.
Развернуть
  • x

artemrus38
artemrus38 MVE Опубликовано 2020-10-30 10:48:06
Добрый день! Из лога видно, что arp запросы поступают на адрес внутренней сети. Вы посмотрите, не все же 100 адресов участвует в атаке? И в этом случаи либо блокировать arp запросы, либо ограничить скорость на порту у клиентов, ну например до 2х Мбит/с, что бы сервис у всех пользователей не страдал, а дальше разбираться кто куда шлет.
Так же можете посмотреть загрузку cpu в период тормозов -> disp cpu-us, посмотреть какие дропы есть -> disp cpu-def st.
Развернуть
  • x

Galym
Galym Опубликовано 2020-10-30 19:43:22
<swa1-core>disp cpu-us
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage            : 10% Max: 87%
CPU Usage Stat. Time : 2020-10-30  21:30:08 
CPU utilization for five seconds: 10%: one minute: 10%: five minutes: 10%
Max CPU Usage Stat. Time : 2020-10-28 20:41:30.

TaskName             CPU  Runtime(CPU Tick High/Tick Low)  Task Explanation
VIDL                 90%         6/49534dff       DOPRA IDLE                    
OS                    7%         0/7d2b74fe       Operation System              
SFPT                  1%         0/4d3021c0       SFPT Timer                    
bcmCNTR.0             1%         0/65ec8780                                     
bmLINK.0              1%         0/5de097c0                                     
1AGA                  0%         0/       0       1AGAGT                        
AAA                   0%         0/       0       AAA  Authen Account Authorize 
ACL                   0%         0/       0       ACL Access Control List       
ADPT                  0%         0/       0       ADPT Adapter                  
AGNT                  0%         0/       0       AGNT SNMP agent task          
AGT6                  0%         0/       0       AGT6 SNMP AGT6 task           
ALM                   0%         0/       0       ALM  Alarm Management         
ALS                   0%         0/  4c4b40       ALS  Loss of Signal           
AM                    0%         0/  e4e1c0       AM   Address Management


Развернуть
  • x

Galym
Galym Опубликовано 2020-10-30 19:45:29
<swa1-core>disp cpu-def st
 Statistics on slot 0:
--------------------------------------------------------------------------------
Packet Type             Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time  
--------------------------------------------------------------------------------
arp-miss                            11099                   0  -                   
                                   823433                   0
arp-reply                            1798                   0  -                   
                                   121452                   0
arp-request                       2104108                 121  2020-10-29 12:28:12
                                141812672                7744
arp-request-uc                     299351                   0  -                   
                                 19934204                   0
dhcp-client                          9193                   0  -                   
                                  3222710                   0
dhcp-server                         21157                   0  -                   
                                  7404196                   0
dhcpv6-reply                            0                   0  -                   
                                        0                   0
dns                                     0                   0  -                   
                                        0                   0
fib-hit                              1937                   0  -                   
                                   206628                   0
ftp                                     0                   0  -                   
                                        0                   0
gre-keepalive                           0                   0  -                   
                                        0                   0
http                                  199                   0  -                   
                                    18934                   0
https                                1247                  29  2020-10-30 00:35:12
                                   208726                3606
hw-tacacs                               0                   0  -                   
                                        0                   0
icmp                               338014                   0  -                   
                                 22985798                   0
ldt                                138273                   0  -                   
                                  8849472                   0
lnp                                 11714                   0  -


Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.