donderdag 17 oktober 2013 11:20

Acties:
  • 0 Henk 'm!
  • pkleingu2
  • Registratie: September 2009
  • Laatst online: 19:32

pkleingu2

Topicstarter
Kan ik hier advies vragen?
Sinds twee dagen heb ik een managed switch waaraan 1 poort een xerox netwerk printer hangt die steeds blokkeerd. In de log file staat "Dos Attack: UDP packet with soure MAC equal to destination MAC received on the interface xx" Hang ik deze printer aan een andere poort blokkeert deze.
De firmware van de printer heb ik al ge-update. En als ik de dos beveiliging uitzet is het probleem verholpen.
Maar ja. De beveiliging uit zetten om een netwerk printer te laten werken, vind ik niet echt een oplossing.
Kan iemand mij verder helpen?

Peter.

donderdag 17 oktober 2013 11:33

Acties:
  • 0 Henk 'm!
  • Giftcard
  • Registratie: Augustus 2010
  • Laatst online: 29-04 12:36

Giftcard

Dank voor het aanmaken van het losse topic.

Paar vragen:
- Wat is het merk en type van je switch?
- Hoe is je setup van de printer?
o - DHCP?
o - Static IP?
- Staat port-security of iets dergelijks aan op de switch?
- Wanneer slaat de port dicht?
o - Bijv na een print opdracht of gelijk na het aansluiten van de kabel..

[ Voor 19% gewijzigd door Giftcard op 17-10-2013 11:34 ]

"Secrets are only secrets if they are secret."

donderdag 17 oktober 2013 12:02

Acties:
  • 0 Henk 'm!
  • pkleingu2
  • Registratie: September 2009
  • Laatst online: 19:32

pkleingu2

Topicstarter
Antwoorden

Merk:netgear ps724t
Setup is via DHCP
Bij Port security staat alles uit.
Maar bij algemene settings staat beveiling tegen dos attack aan.
Zodra ik de poort active maak duurt het een paar seconden, voor de Dos beveiliging hem weer uitzet.

donderdag 17 oktober 2013 13:28

Acties:
  • 0 Henk 'm!
  • Giftcard
  • Registratie: Augustus 2010
  • Laatst online: 29-04 12:36

Giftcard

Een DHCP request is UDP verkeer, dus als de printer een verbinding ziet zal hij via UDP om een IP adres vragen. Kan je kijken wat het gedrag is als je de printer een static IP geeft?

Het blijft vreemd dat het dan zoveel requests zijn dat je switch het aanzien voor het een Dos attack.

Kleine sidenote; Mijn Netgear kennis is redelijk beperkt, maar toch:
Volgens Google bestaat de PS724T niet, maar de GS724T wel, de specs die ik daar vind geven aan dat het apparaat port mirroring aan kan. Ik neem aan dat het zelfde werkt als SpanPorts by Cisco.

Wat je kan proberen is om een port mirror op te zetten, zodat je een kopie van het verkeer op je laptop captured met Wireshark, daar valt uit te halen wat die printer allemaal aan UDP verkeer verstuurt...

[ Voor 3% gewijzigd door Giftcard op 17-10-2013 13:30 ]

"Secrets are only secrets if they are secret."

donderdag 17 oktober 2013 13:54

Acties:
  • 0 Henk 'm!
  • pkleingu2
  • Registratie: September 2009
  • Laatst online: 19:32

pkleingu2

Topicstarter
Dank je Giftcard voor je hulp.

Het betreft hier inderdaad een GS724T. De dhcp zal ik handmatig instellen om te kijken of dit het probleem oplost. Of ik het UDP verkeer begrijp weet ik niet, maar ik zal het proberen. Kan ik het foute verkeer filteren op deze switch zodat de dos beveiliging de poort niet blokkeert?

donderdag 17 oktober 2013 14:03

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

ik zou die DoS-beveiliging lekker uitzetten. Dat soort spul doet meestal meer kwaad dan goed, en je ziet 't.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 17 oktober 2013 14:03

Acties:
  • 0 Henk 'm!
  • Bigs
  • Registratie: Mei 2000
  • Niet online

Bigs

Dat de printer UDP verkeer naar zichzelf verzendt is wel vreemd maar geen reden tot paniek. Het is leuk dat de switch je hiertegen 'beschermt' maar ik zou gewoon de check uitzetten en er niet meer naar omkijken. Je zult geen last hebben van die 'dos attack' omdat de switch het verkeer verder nergens heen kan sturen.

donderdag 17 oktober 2013 14:22

Acties:
  • 0 Henk 'm!
  • pkleingu2
  • Registratie: September 2009
  • Laatst online: 19:32

pkleingu2

Topicstarter
Beveiliging uitzetten is altijd makkelijker dat het probleem elimineren. Je koopt toch geen uitgebreidere switch om vervolgens alles weer uit te zetten. Het beschermt tegen een aantal aanvallen uit het onderstaande lijstje. Deze opties zitten toch niet voor niets op een switch?

• Denial of Service SIP=DIP. Enable or disable this option by selecting the appropriate
radio button. Enabling SIP=DIP DoS prevention causes the switch to drop packets
that have a source IP address equal to the destination IP address. The factory default
is Disable.
• Denial of Service First Fragment. Enable or disable this option by selecting the
appropriate radio button. Enabling First Fragment DoS prevention causes the switch
to drop packets that have a TCP header smaller than the configured Min TCP Hdr
Size. The factory default is Disable.
• Denial of Service Min TCP Hdr Size. Specify the Min TCP Hdr Size allowed. If First
Fragment DoS prevention is enabled, the switch will drop packets that have a TCP
header smaller than this configured Min TCP Hdr Size. The factory default is 20
bytes.
• Denial of Service TCP Fragment. Enable or disable this option by selecting the
appropriate radio button. Enabling TCP Fragment DoS prevention causes the switch
to drop packets that have an IP fragment offset equal to 1. The factory default is
Disable.
• Denial of Service TCP Flag. Enable or disable this option by selecting the
appropriate radio button. Enabling TCP Flag DoS prevention causes the switch to
drop packets that have TCP flag SYN set and TCP source port less than 1024 or TCP
control flags set to 0 and TCP sequence number set to 0 or TCP flags FIN, URG, and
PSH set and TCP sequence number set to 0 or both TCP flags SYN and FIN set. The
factory default is Disable.
• Denial of Service L4 Port. Enable or disable this option by selecting the appropriate
radio button. Enabling L4 Port DoS prevention causes the switch to drop packets that
have TCP/UDP source port equal to TCP/UDP destination port. The factory default is
Disable.
• Denial of Service ICMP. Enable or disable this option by selecting the appropriate
radio button. Enabling ICMP DoS prevention causes the switch to drop ICMP packets
that have a type set to ECHO_REQ (ping) and a size greater than the configured
ICMP packet size. The factory default is Disable.
• Denial of Service Max ICMP Size. Specify the Max ICMP packet size allowed. If
ICMP DoS prevention is enabled, the switch will drop ICMP ping packets that have a
size greater then this configured Max ICMP packet size. The factory default is
Disable.

donderdag 17 oktober 2013 14:29

Acties:
  • 0 Henk 'm!
  • Bigs
  • Registratie: Mei 2000
  • Niet online

Bigs

Laat ik het zo zeggen: de meeste switches die ik tegenkom zijn een stuk duurder dan deze Netgear en hebben die features niet. Het zijn leuke gimmicks (d.w.z. het staat leuk in de brochure) die typisch zijn voor apparaten uit deze klasse, maar zoals CyBeR al zegt ze doen meestal meer kwaad dan goed. De dingen uit je lijstje zijn ook niet direct zaken waar ik me zorgen over maak op een LAN switch.

donderdag 17 oktober 2013 14:39

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

pkleingu2 schreef op donderdag 17 oktober 2013 @ 14:22:
Beveiliging uitzetten is altijd makkelijker dat het probleem elimineren. Je koopt toch geen uitgebreidere switch om vervolgens alles weer uit te zetten. Het beschermt tegen een aantal aanvallen uit het onderstaande lijstje. Deze opties zitten toch niet voor niets op een switch?
en wie gaat die aanvallen uit zitten voeren dan?

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 17 oktober 2013 14:42

Acties:
  • 0 Henk 'm!
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Ja precies, verwacht je een DDOS vanuit je eigen netwerk ? Dat je zoiets op een router aanzet, kan ik me voorstellen, maar voor een klein lan op een switch ?
Het betse ga je eerst idd via captures kijken waar het nu om gaat. Kan best zijn dat je switch iets verkeerd interpreteert.

donderdag 17 oktober 2013 15:55

Acties:
  • 0 Henk 'm!
  • pkleingu2
  • Registratie: September 2009
  • Laatst online: 19:32

pkleingu2

Topicstarter
Nee, ik verwacht geen dos attack vanuit mijn eigen netwerk.
Maar ik heb deze switch gekocht om 3 unmanaged switches te vervangen voor internet en voor iptv. De vlan's heb ik aan de praat. En nu zit tussen internet en het glasvezel modem een router, maar tussen iptv en het glasvezel modem zit nu geen router.
Het vast zetten van het ip adres heeft helaas niet geholpen.
Toch maar even kijken wat voor UDP verkeer er komt van die xerox printer.
Ik blijf het toch interessant vinden.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq