О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

A TCP SYN Attack was identified

MES, ESR
komp
Сообщения: 40
Зарегистрирован: 24 дек 2015 13:32
Reputation: 0
Откуда: Симферополь

A TCP SYN Attack was identified

Сообщение komp » 17 май 2019 18:12

Приветствую.

Код: Выделить всё

17-May-2019 13:34:09 :%SECURITYSUITE-I-SECSYNATTACKED: 13:34:09 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.

17-May-2019 13:33:45 :%SECURITYSUITE-I-SECSYNATTACKED: 13:33:45 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.

17-May-2019 13:31:43 :%SECURITYSUITE-I-SECSYNATTACKED: 13:31:43 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.

17-May-2019 13:31:40 :%SECURITYSUITE-I-SECSYNATTACKED: 13:31:40 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.


17-May-2019 13:10:15 :%SECURITYSUITE-I-SECSYNATTACKED: 13:10:15 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.

17-May-2019 13:09:51 :%SECURITYSUITE-I-SECSYNATTACKED: 13:09:51 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.

17-May-2019 13:07:48 :%SECURITYSUITE-I-SECSYNATTACKED: 13:07:48 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.

17-May-2019 13:07:45 :%SECURITYSUITE-I-SECSYNATTACKED: 13:07:45 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.

Эти сообщения в логе совпадают со всплесками загрузки процессора:
Снимок экрана от 2019-05-17 13-54-54.png
Снимок экрана от 2019-05-17 13-54-54.png (16.07 КБ) 4714 просмотров

Интерфейс te1/0/4 это аплинк. Через него проброшено несколько десятков vlan.
Подскажите, есть ли возможно более детально отследить источник атаки? Узнать vlan или mac? Может как-то через debug режим?

Коммутатор MES-3324F
FW:

Код: Выделить всё

Active-image: flash://system/images/mes3300-4010-1R16.ros
  Version: 4.0.10.1
  Commit: fd190e0b
  Build: 16 (master)
  MD5 Digest: 7f2f60dd65a7c68ef6aad1aeeaa97f51
  Date: 08-Oct-2018
  Time: 16:49:03

Андрей Есман
Сообщения: 175
Зарегистрирован: 22 фев 2019 12:02
Reputation: 1
Откуда: Элтекс

Re: A TCP SYN Attack was identified

Сообщение Андрей Есман » 23 май 2019 08:58

Здравствуйте.
В текущей версии ПО данной возможности не предусмотрено.

Сообщите свои контактные данные(почту) и название организации в ЛС.
На сколько для Вас критично отсутствие данного функционала?
Андрей Есман / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

Андрей Есман
Сообщения: 175
Зарегистрирован: 22 фев 2019 12:02
Reputation: 1
Откуда: Элтекс

Re: A TCP SYN Attack was identified

Сообщение Андрей Есман » 27 май 2019 16:03

Здравствуйте.

Можно повесить на коммутатор management acl и разрешить доступ только на определённые интерфейсы коммутатора.
Если интерфейсы запрещать по одному, то можно вычислить в каком влане отправляются на коммутатор TCP-SYN.

Пример настройки management acl:
http://kcs.eltex.nsk.ru/articles/849
Андрей Есман / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

komp
Сообщения: 40
Зарегистрирован: 24 дек 2015 13:32
Reputation: 0
Откуда: Симферополь

Re: A TCP SYN Attack was identified

Сообщение komp » 27 май 2019 17:02

Приветствую.
Контактные данные отправил в ЛС

management access-list имеется:

Код: Выделить всё

management access-list mgmt
 permit ip-source 192.168.100.0 mask 255.255.255.0
exit
!
management access-class mgmt

На интерфейсе te1/0/4 есть пачка vlan, к примеру 10,20,30,40,50,60 и т.д.
Насколько я понял, можно по очереди создавать ip интерфейсы в этих vlan. И когда я угадаю vlan свич сообщит об атаке в лог? Так?

Андрей Есман
Сообщения: 175
Зарегистрирован: 22 фев 2019 12:02
Reputation: 1
Откуда: Элтекс

Re: A TCP SYN Attack was identified

Сообщение Андрей Есман » 27 май 2019 18:00

komp писал(а):Насколько я понял, можно по очереди создавать ip интерфейсы в этих vlan. И когда я угадаю vlan свич сообщит об атаке в лог? Так?

Можно и так попробовать.

Но я имел ввиду немного другое, именно с помощью management acl запрещать по очереди вланы и ждать, когда прекратится атака.
Андрей Есман / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

Aleksey Shimanov
Сообщения: 62
Зарегистрирован: 03 дек 2018 12:15
Reputation: 0

Re: A TCP SYN Attack was identified

Сообщение Aleksey Shimanov » 13 июл 2020 14:01

Андрей Есман писал(а):На сколько для Вас критично отсутствие данного функционала?

У нас возникла подобная ситуация, MES5324.
Хотелось бы получить mac или ip-адрес, а лучше и то и другое.
VLANов нет, порт в режиме access, и тоже аплинк.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: A TCP SYN Attack was identified

Сообщение Евгений Т » 13 июл 2020 14:16

Здравствуйте.

Функционал будет доступен в ближайшем релизе 4.0.15, ориентировочный срок выхода которого - середина августа.
Если хотите получить релиз по готовности, прошу завести заявку по форме https://eltex-co.ru/support/
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

Aleksey Shimanov
Сообщения: 62
Зарегистрирован: 03 дек 2018 12:15
Reputation: 0

Re: A TCP SYN Attack was identified

Сообщение Aleksey Shimanov » 13 июл 2020 14:18

Спасибо, ждем с нетерпением! :D

etosamoe
Сообщения: 26
Зарегистрирован: 15 янв 2018 20:59
Reputation: 0

Re: A TCP SYN Attack was identified

Сообщение etosamoe » 02 дек 2020 15:10

Добрый день

Подскажите, эта ошибка (A TCP SYN Attack was identified on port) говорит, что TCP SYN Attack (по мнению коммутатора) идет именно на ip-адреса, которые на коммутаторе заведены? Или вообще проходящий трафик?

Если у нас на коммутаторе заведены 5 ip-адресов (для шлюзов по умолчанию), то "атака" идет именно на эти адреса, либо на менеджмент-адрес, верно?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: A TCP SYN Attack was identified

Сообщение Евгений Т » 03 дек 2020 14:32

Здравствуйте.

Приложите пожалуйста show ver с коммутатора. Спрашиваю в связи с тем, что до версии 4.0.14 функционал был реализован не совсем корректно и анализировал весь трафик с DST MAC коммутатора (а если у вас коммутатор и шлюзом является для абонентов, то соответственно весь этот трафик будет анализироваться). Если версия ПО у вас младше 4.0.14, то рекомендую сразу обновиться на актуальную 4.0.14.3 и перепроверить наличие данных логов. Если останутся, то атака идёт на коммутатор. Если исчезнут, то дело было в вышеуказанных правках.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

etosamoe
Сообщения: 26
Зарегистрирован: 15 янв 2018 20:59
Reputation: 0

Re: A TCP SYN Attack was identified

Сообщение etosamoe » 03 дек 2020 19:39

Здравствуйте, Евгений

Спасибо за ответ. Версия ПО сильно меньше (4.0.10.1). Будем обновляться.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей