Методы борьбы с ДДОС атаками вида Broadcast storm

Broadcast storm — это не редкое погодное явление, а передача большого количества широковещательных пакетов в сети, часто с последующим увеличением их количества. Может возникать, например, как следствие петель в сети на канальном уровне или из-за атак на сеть. Из-за широковещательного шторма нормальные данные в сети зачастую не могут передаваться. Избежать возникновения широковещательных пакетов в сети практически невозможно, так как они используются многими служебными протоколами, но можно значительно снизить их количество, понимая, откуда возникает этот трафик.

Вот несколько примеров

  • NetBIOS-трафик. Основной источник флуда в сети и инициатор лавинных ARP-запросов.
  • Сервисы SSDP (UPnP) и IGMP иногда анонсируют себя в сети. Клиенты этих сервисов также применяют multicast для поиска серверов. Периодичности не замечено — скорее всего, они работают по запросу приложений верхних уровней, например клиентов с поддержкой UPnP.
  • P2P-клиенты могут искать пиры в локальной сети при определенных обстоятельствах.
  • Windows Vista и Windows 7 со включенным IPv6. При инициализации стека рассылается пара десятков пакетов по групповому адресу Destination: IPv6-Neighbor-Discovery_00:00:00:02 (33:33:00:00:00:02). В логе коммутатора появляется Multicast storm с минимальной длительностью 5 с. Последующий трафик небольшой, порядка 3–8 пакетов в минуту, и то не каждую минуту.

  • Некоторые сетевые игрушки, например C&C 3, Left 4 Dead, Operation Flashpoint, Armed Assault.
  • Сервис Bonjour, который устанавливают некоторые продукты Apple и Adobe. Стреляет мультикастами на 224.0.0.251 при инициализации интерфейсов. Судя по отзывам пользователей, вызывает блокировки за Multicast flood.
  • Одноранговые сетевые чаты и файлообменники типа Vypress Chat. Работают на UDP поверх multicast или broadcast.
  • Некоторые сетевые программы, например Hamachi (программа для создания виртуальных ЛС), Canon IJ Network Scan Utility (программа для поиска МФУ в сети).

На коммутаторах без защиты от широковещательного шторма его легко вызвать, просто соединив между собой два порта патч-кордом. Вот несколько способов борьбы с широковещательным штормом:

  • разделение сети на несколько VLAN или на различные сети канального уровня. Это позволит локализовать шторм в пределах одного VLAN или одной подсети;
  • протоколы STP — они помогут блокировать петли на канальном уровне;
  • в Metro Ethernet сетях можно использовать EAPS (Ethernet Automatic Protection Switching) — это технология повышения отказоустойчивости Metro Ethernet сетей, введенная Extreme Networks;
  • специальные функции коммутаторов — ограничивают количество широковещательных пакетов в сети.
Рейтинг материала
[Голосов: 0 Рейтинг: 0]
26 декабря 2015, 12:35

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *