Arp miss Attack

https://support.huawei.com/enterprise/tr/knowledge/EKB1000023741

@esersolmaz

Teşekkür ederim yorumunuz için bu dokümanı okumuştum aslında 

arp-miss anti-attack rate-limit packet packet-number [ interval interval-value ]

Önemli olan soru şu benim için yukarıdaki komutu Switch de tanımladığımda “packet-number [ interval interval-value ]” belirtilen değeri kaç girmem gerekli bunun hesaplanmasını bulamıyorum. 

@MustafaDemiroz abi buralardaysan bir bakabilir misin ?

@batuhan-gokcay

Hahaha 🙂 burdayim bakiyorum 🙂

Aslinda sorununun kaynagina bakalim,

arp miss nedir ? Destination mac adrsler aslinda yoklar, sw bunlari islemeye calisiyor ve cpu sisiyor. Olmayan mac e istek gidermi dediginizi duyar gibiyim. muhim olan incomplete mac adrsini ne kadar sure tutacaginiz. Burda da bunu yapiyoruz aslinda 🙂

arp miss limiti default 500 sen onu 100 yap, ben oyle yapmistim.

ayrica burasi cok guzel anlatiyor

http://support.huawei.com/onlinetoolsweb/ptmngsys/Web/tsrev_s/en/content/s/25_edesk_ARP_Attack/edesk_ARP_Attack_edesk003.html

@MustafaDemiroz

Değerli yorumların için çok teşekkür ediyorum abi ,

Biraz çalışma yaptım da konu ile ilgili

1. ARP girişlerini kontrol etmek için switch arayüzünde " display arp all" komutunu  çalıştırdım.

neredeyse 50 adet ARP girişindeki MAC adres alanı  Incomplete  ifadesini gösterdi  ( sebebi sahada şuan 50 ye yakın adet kameralar çevrimdışı ) , switch bu ARP girişini öğrenemedi.

Acaba şey diyorum abi ana sunucular kayıt sunucuları felan bu çevrim dışı kameralar için switch e IP paketleri gönderir , switch ARP Miss mesajlarını temel alan geçici ARP girişleri oluşturur ve ARP istek paketlerini hedef ağ segmentine gönderir.Geçici ARP girişlerinin yaşlanma süresi dolarsa, anahtar geçici ARP girişlerini siler , drop edilir yani .

Acaba ben bunu mu yaşıyorum , yani bu attack arp miss ler normal midir ?

Mumkun, musait zamanda birlikte bakalim mi?

Noldu bu konu ?

Unutuldu sanki?

@hakanuzuner @MustafaDemiroz  

merhabalar , 

mustafa abi o konuyu çözdüm ya ben şöyleki kısaca anlatıcak olursam bizim bu arp attackları olduğu sıralarda 70 e yakın çevrimdışı kameramız vardı tabi bu kameralar pelco kayıt sunucularında ve bizim core gateway lerde kayıtlı olduğu için sürekli sunucular kamera çevrimiçi oldumu diye S9306 Huawei switch e sorgu atıyordu.

 Huawei troubleshooting S9300 serisi dokümanlarıda bu attackları çok güzel anlatmış çalıştım biraz, ilk önce "arp-miss anti-attack rate-limit" gibi arp-miss paketlerini limitliyecek kodlar yazdım bu sefer de kameralar çevrimiçi olanlar olmuş içlerinden ama biz ulaşamadık paketleri limitleyip drop ettiği için.

Sonrasında bu dokümanda söyle birşey söylemiş huawei eğer "15 den fazla  ARP girişindeki MAC adres alanı  Incomplete(çevrim dışı kameralar)  "  ibaresi yer alırsa switch arp-miss attackları geçirir diye bizde bakımcıya verdik kameraları hepsi çevrim içi oldu düzeldi sistem temizlendi yani switch loglarım ? 

Teşekkürler ilginiz için.

şimdi bol bol troubleshooting lere çalışıyorum çok önemli bence ? ? 

Süper bilgi, dönüş ve bilgi için çok teşekkürler.