Одноадресный флуд

В компьютерных сетях одноадресная рассылка происходит, когда коммутатор получает одноадресный кадр и не знает, что адресат находится на каком-либо конкретном порту коммутатора. Поскольку коммутатор не имеет информации о том, через какой порт (если таковой имеется) можно связаться с адресатом, он пересылает кадр через все порты, кроме того, через который кадр был получен.

Фон

Одноадресная передача относится к передаче «один к одному» от одного узла сети к другому. Эта диаграмма иллюстрирует одноадресную передачу кадра от одного узла сети к другому:

коммутатора Когда коммутатор получает одноадресный кадр с адресом назначения, отсутствующим в таблице пересылки , этот кадр обрабатывается как широковещательный кадр и отправляется во все сегменты сети, к которым он подключен, кроме того, из которого он получил кадр:

Причины

Процесс обучения прозрачному мосту требует, чтобы коммутатор получил кадр от устройства, прежде чем одноадресные кадры могут быть перенаправлены на него. Прежде чем любая такая передача будет получена, используется одноадресная рассылка, чтобы гарантировать, что передача достигнет намеченных пунктов назначения. Обычно это кратковременное состояние, поскольку получение обычно приводит к ответу, завершающему процесс обучения. Этот процесс происходит при первоначальном подключении устройства к сегменту сети или после очистки его адреса и идентификатора порта из базы пересылающей информации . Запись очищается, когда соединение на исходном порту отключается или когда срок его действия истекает из-за неактивности (на многих коммутаторах по умолчанию используется пять минут). Ограничение по времени необходимо, поскольку коммутатор не обязательно видит какие-либо индикаторы перемещения или отключения сетевого узла.

Когда у моста или коммутатора не осталось места в базе пересылаемой информации и он не может добавить запись для нового узла, он должен переслать любой кадр, адресованный этому узлу, через все порты, кроме того, на котором кадр был получен. Это распространенная проблема в сетях со многими хостами. ^[1] Менее распространенным является искусственное заполнение таблиц адресов при атаке с растоплением MAC-адресов .

Другая распространенная причина — хост, у которого тайм-аут кэша ARP превышает тайм-аут базы пересылочной информации (FIB) в коммутаторе — коммутатор забывает, какой порт подключается к цели, прежде чем хост забудет MAC-адрес цели. ^[2] Этого можно избежать, настроив коммутатор с таймаутом FIB, превышающим таймауты кэша ARP узлов в его сети. Когда узлу необходимо отправить кадр хосту после истечения срока действия соответствующей записи в кэше ARP, он должен сначала отправить широковещательный кадр ARP, который коммутатор должен переслать через все порты, чтобы обнаружить (текущий) MAC-адрес хоста.

Неправильно сконфигурированные функции сетей также могут привести к одноадресному флуду. Если есть два пути уровня 2 от хоста A к B и хост A использует путь 1 для связи с хостом B, но хост B использует путь 2 для ответа хосту A, то промежуточные коммутаторы на пути 1 никогда не узнают MAC-адрес назначения. хоста B и промежуточные коммутаторы на пути 2 никогда не узнают MAC-адрес назначения хоста A. ^[3]

Последней причиной одноадресной рассылки являются изменения топологии. Когда состояние канала изменяется на сетевом порту, который участвует в быстром связующем дереве , кэш адресов на этом коммутаторе будет очищен, в результате чего все последующие кадры будут вытеснены из всех портов до тех пор, пока адреса не будут повторно изучены коммутатором. ^[4]

Средства правовой защиты

Функция блокировки одноадресной рассылки доступна на коммутаторах Cisco, но не включена по умолчанию. Убедившись, что тайм-ауты и функции безопасности настроены для хранения записей таблицы на портах клиентского доступа дольше, чем типичные тайм-ауты кэша ARP хоста , эта команда используется для подавления одноадресной рассылки на этих портах: ^[5]^[6]

Switch(config-if)# switchport block unicast

Другие методы включают изоляцию хостов на уровне 2, который блокирует внутрисетевую связь, не предназначенную для конкретных узлов, предоставляющих общую услугу (например, маршрутизатор). Удобным инструментом для этого являются защищенные порты (порты, которым запрещено взаимодействовать с другими защищенными портами), доступные в коммутаторах нижнего уровня: ^[7]

Switch(config-if)# switchport protected

Более надежным решением для перекрестных коммутаторов, чем «защищенный порт коммутатора», является использование частных VLAN . ^[8]

Чтобы заблокировать флуд на машине Linux, достаточно современной, чтобы иметь установленный iproute2 , вы можете контролировать флудинг в мосте устройств, запустив Bridge Link Set dev phy6 Flood Off . Чтобы установить тайм-аут MAC больше, чем тайм-аут ARP, можно выполнить следующие команды:

brctl setageing br0 330; echo 300 > /proc/sys/net/ipv4/neigh/br0/gc_stale_time

Большинство современных коммутаторов, как высокого, так и низкого уровня, поддерживают защиту от наводнения.

Влияние на сети

Когда в сети происходит одноадресная рассылка, производительность сети снижается. Вот график моста до и после настройки размера кэша адресов моста: ^[1]

80% кадров были переполнены и так и не были получены по адресу назначения, а 20% составляли действительный трафик. В сетях с большим объемом трафика лавинный трафик может привести к перегрузке портов, потере пакетов и высокой задержке.

Еще одним побочным эффектом исчерпания адресных таблиц является компрометация данных. Вопросы безопасности обсуждаются в разделе MAC-флуд — одной из нескольких причин одноадресной рассылки. Если конечный пользователь запускает анализатор пакетов , лавинные кадры могут быть перехвачены и просмотрены.

См. также

Широковещательный, неизвестный одноадресный и многоадресный трафик

Ссылки

^ Jump up to: ^а ^б Руди Ракер (27 января 2012 г.). «Исправление одноадресной рассылки» . Проверено 8 марта 2021 г.
^ Стивен Кинг (17 июня 2009 г.). «Одноадресный флуд» . Проверено 27 января 2012 г.
^ «Устранение асимметричной пересылки и одноадресной рассылки» . Сиско Системс Инк . Проверено 27 января 2012 г.
^ Баладжи Сивасубраманян (10 сентября 2004 г.). «Устранение неполадок одноадресной рассылки из-за топологии» . Сиско Пресс . Проверено 27 января 2012 г.
^ Джереми Стретч (4 июня 2010 г.). «Блокирование неизвестного одноадресного флуда» . PacketLife.net . Проверено 27 января 2012 г.
^ «Блокирование одноадресной и многоадресной рассылки портов» (PDF) . Проверено 9 июля 2024 г.
^ Петр Лапухов (14 июля 2008 г.). «Возвращение к частным VLAN» . Проверено 7 апреля 2012 г.
^ «Настройка частных VLAN» . Циско . Проверено 7 апреля 2012 г.

[forum-1] Jump up to: ^а ^б Руди Ракер (27 января 2012 г.). «Исправление одноадресной рассылки» . Проверено 8 марта 2021 г.

[2] Стивен Кинг (17 июня 2009 г.). «Одноадресный флуд» . Проверено 27 января 2012 г.

[3] «Устранение асимметричной пересылки и одноадресной рассылки» . Сиско Системс Инк . Проверено 27 января 2012 г.

[4] Баладжи Сивасубраманян (10 сентября 2004 г.). «Устранение неполадок одноадресной рассылки из-за топологии» . Сиско Пресс . Проверено 27 января 2012 г.

[5] Джереми Стретч (4 июня 2010 г.). «Блокирование неизвестного одноадресного флуда» . PacketLife.net . Проверено 27 января 2012 г.

[6] «Блокирование одноадресной и многоадресной рассылки портов» (PDF) . Проверено 9 июля 2024 г.

[7] Петр Лапухов (14 июля 2008 г.). «Возвращение к частным VLAN» . Проверено 7 апреля 2012 г.

[8] «Настройка частных VLAN» . Циско . Проверено 7 апреля 2012 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]