Страница 1 из 1
A TCP SYN Attack was identified
Добавлено: 17 май 2019 18:12
komp
Приветствую.
Код: Выделить всё
17-May-2019 13:34:09 :%SECURITYSUITE-I-SECSYNATTACKED: 13:34:09 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.
17-May-2019 13:33:45 :%SECURITYSUITE-I-SECSYNATTACKED: 13:33:45 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.
17-May-2019 13:31:43 :%SECURITYSUITE-I-SECSYNATTACKED: 13:31:43 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.
17-May-2019 13:31:40 :%SECURITYSUITE-I-SECSYNATTACKED: 13:31:40 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.
17-May-2019 13:10:15 :%SECURITYSUITE-I-SECSYNATTACKED: 13:10:15 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.
17-May-2019 13:09:51 :%SECURITYSUITE-I-SECSYNATTACKED: 13:09:51 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.
17-May-2019 13:07:48 :%SECURITYSUITE-I-SECSYNATTACKED: 13:07:48 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.
17-May-2019 13:07:45 :%SECURITYSUITE-I-SECSYNATTACKED: 13:07:45 17-May-2019:
A TCP SYN Attack was identified on port te1/0/4.
Эти сообщения в логе совпадают со всплесками загрузки процессора:
- Снимок экрана от 2019-05-17 13-54-54.png (16.07 КБ) 6628 просмотров
Интерфейс te1/0/4 это аплинк. Через него проброшено несколько десятков vlan.
Подскажите, есть ли возможно более детально отследить источник атаки? Узнать vlan или mac? Может как-то через debug режим?
Коммутатор MES-3324F
FW:
Код: Выделить всё
Active-image: flash://system/images/mes3300-4010-1R16.ros
Version: 4.0.10.1
Commit: fd190e0b
Build: 16 (master)
MD5 Digest: 7f2f60dd65a7c68ef6aad1aeeaa97f51
Date: 08-Oct-2018
Time: 16:49:03
Re: A TCP SYN Attack was identified
Добавлено: 23 май 2019 08:58
Андрей Есман
Здравствуйте.
В текущей версии ПО данной возможности не предусмотрено.
Сообщите свои контактные данные(почту) и название организации в ЛС.
На сколько для Вас критично отсутствие данного функционала?
Re: A TCP SYN Attack was identified
Добавлено: 27 май 2019 16:03
Андрей Есман
Здравствуйте.
Можно повесить на коммутатор management acl и разрешить доступ только на определённые интерфейсы коммутатора.
Если интерфейсы запрещать по одному, то можно вычислить в каком влане отправляются на коммутатор TCP-SYN.
Пример настройки management acl:
http://kcs.eltex.nsk.ru/articles/849
Re: A TCP SYN Attack was identified
Добавлено: 27 май 2019 17:02
komp
Приветствую.
Контактные данные отправил в ЛС
management access-list имеется:
Код: Выделить всё
management access-list mgmt
permit ip-source 192.168.100.0 mask 255.255.255.0
exit
!
management access-class mgmtНа интерфейсе te1/0/4 есть пачка vlan, к примеру 10,20,30,40,50,60 и т.д.
Насколько я понял, можно по очереди создавать ip интерфейсы в этих vlan. И когда я угадаю vlan свич сообщит об атаке в лог? Так?
Re: A TCP SYN Attack was identified
Добавлено: 27 май 2019 18:00
Андрей Есман
komp писал(а):Насколько я понял, можно по очереди создавать ip интерфейсы в этих vlan. И когда я угадаю vlan свич сообщит об атаке в лог? Так?
Можно и так попробовать.
Но я имел ввиду немного другое, именно с помощью management acl запрещать по очереди вланы и ждать, когда прекратится атака.
Re: A TCP SYN Attack was identified
Добавлено: 13 июл 2020 14:01
Aleksey Shimanov
Андрей Есман писал(а):На сколько для Вас критично отсутствие данного функционала?
У нас возникла подобная ситуация, MES5324.
Хотелось бы получить mac или ip-адрес, а лучше и то и другое.
VLANов нет, порт в режиме access, и тоже аплинк.
Re: A TCP SYN Attack was identified
Добавлено: 13 июл 2020 14:16
Евгений Т
Здравствуйте.
Функционал будет доступен в ближайшем релизе 4.0.15, ориентировочный срок выхода которого - середина августа.
Если хотите получить релиз по готовности, прошу завести заявку по форме
https://eltex-co.ru/support/
Re: A TCP SYN Attack was identified
Добавлено: 13 июл 2020 14:18
Aleksey Shimanov
Спасибо, ждем с нетерпением!
Re: A TCP SYN Attack was identified
Добавлено: 02 дек 2020 15:10
etosamoe
Добрый день
Подскажите, эта ошибка (A TCP SYN Attack was identified on port) говорит, что TCP SYN Attack (по мнению коммутатора) идет именно на ip-адреса, которые на коммутаторе заведены? Или вообще проходящий трафик?
Если у нас на коммутаторе заведены 5 ip-адресов (для шлюзов по умолчанию), то "атака" идет именно на эти адреса, либо на менеджмент-адрес, верно?
Re: A TCP SYN Attack was identified
Добавлено: 03 дек 2020 14:32
Евгений Т
Здравствуйте.
Приложите пожалуйста show ver с коммутатора. Спрашиваю в связи с тем, что до версии 4.0.14 функционал был реализован не совсем корректно и анализировал весь трафик с DST MAC коммутатора (а если у вас коммутатор и шлюзом является для абонентов, то соответственно весь этот трафик будет анализироваться). Если версия ПО у вас младше 4.0.14, то рекомендую сразу обновиться на актуальную 4.0.14.3 и перепроверить наличие данных логов. Если останутся, то атака идёт на коммутатор. Если исчезнут, то дело было в вышеуказанных правках.
Re: A TCP SYN Attack was identified
Добавлено: 03 дек 2020 19:39
etosamoe
Здравствуйте, Евгений
Спасибо за ответ. Версия ПО сильно меньше (4.0.10.1). Будем обновляться.