2960 Switch, ARP Poisoning
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 2 Sayfadan 1. Sayfa 12 SonuncuSonuncu
Toplam 20 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
2960 Switch, ARP Poisoning

Merhabalar networkumde defult harici 2 vlan daha var, birisi 20 diğeri ise 80. backbone'un hemen altında duran Cisco Catalyst 2960 Switch arada sırada sapıtıyor. vlan1, vlan80 normal bir şekilde çalışmasına

  1. #1
    TESLA isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Feb 2010
    Mesajlar
    46

    Standart 2960 Switch, ARP Poisoning

    Merhabalar
    networkumde defult harici 2 vlan daha var, birisi 20 diğeri ise 80. backbone'un hemen altında duran Cisco Catalyst 2960 Switch arada sırada sapıtıyor. vlan1, vlan80 normal bir şekilde çalışmasına rağmen vlan20 çalışmıyor. Sadece o switch de değil backbone üzerinde gbit portlardan 20 olanda çalışmıyor.

    Ethereal programı ile ağı izlediğimde arp değerinin çok yükseklerde olduğunu görebiliyorum, ki zaten anormallik 1ms ile atılması gereken ping 3-18 ms arası değişerek atıyor.
    Sorun şuan yok, ama nasıl çözüldü derseniz o kadar çok şey yapıyorumki hangisi çözüyor anlamadım.

    Sanırım Cisco Catalyst 2960 Switch üzerindeki tüm kabloları çıkartıp tekrar tek tek sıra ile takmaya başladığımda düzeliyor.

    işin özeti arp zehirlenmesi için ne yapmam gerekiyor ? komut nedir ? switch demi backbone damı yapacağım.
    Saygılarımla.

  2. #2
    TESLA isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Feb 2010
    Mesajlar
    46

    Standart

    Bu arada 3 port error-disabled hatası veriyor, oysa aynı yerden çıkan ve 3 yıldırda aynı yerde takılı olan kabloyu, yine aynı porta taktım. reason olarak ise bpduguard yazmaktadır. Ama buna rağmen o portlara takılı kablolar çalışmakta ve kendi notebookuma bağladığımda hiç takılı değilmişcesine davranmaktadır.

  3. #3
    trunkmode isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,332

    Standart

    Merhaba
    öncelikle bu gerçekten bir saldırımı yoksa konfigurasyon hatasımı
    veya sonradan yapılan bir değişiklikten sonramı bu problem oluştu onu analiz ediniz
    loop oluşuyorda olabilir gerçekten bir saldırıda olabilir
    vlan 20 ara sıra çalışmıyor dediğinize göre sorunun kaynağı vlan 20
    subnetinden olabilir.
    2. mesajınızda err-disable state geçen portlarda bpdu guard enable edilmiş ki
    bu porttan bpdu aldığında err disable oluyor. bu portlarda gerçekten bir switch
    var ise bpdu guard kaldırın yok switch değil host portu olduğu halde
    err disable state oluyorsa bir saldırıdan bahsedebiliriz
    err-disable state default olarak 300 sec diye hatırlıyorum ama siz
    interface modda shut no shut yaparsanız swport up olacaktır
    Kolay gelsin

  4. #4
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Selamlar,

    Öncelikle ARP poisioning switch i çalışamaz duruma getirmez , hatta switch ile alakası da yoktur , saldırgan hedefteki bilg ın arp tablosundaki gateway in arp adresini kendi adresiyle değiştirir ve böylece trafiği üzerinden akıtır , bunun haricinde mac-add tablosunu doldurarak yapılan bir saldırı vardır burdada max mac add sayısına ulaştığında switch hub gibi çalışmaya başlar , err-disable a geçtiyse bu portlarda loop oluşmuş demektir bağlantılarınızı kontrol edin , en uç noktalarda biryerde hub,sw takılmış yada aynı uçlar birbirine bağlanmış olabilir
    Mr.google knows everything , ask to him...

  5. #5
    trunkmode isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,332

    Standart

    Saldırı derken,arp poisoning demek istemedim spanning tree problemi kastettim
    zira 2. mesajda bpdu guard neticesi err-disable state e geçdiği söylenmiş
    sanırım konu başlığıda yanlış açılmış

  6. #6
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Alıntı trunkmode Nickli Üyeden Alıntı Mesajı göster
    Saldırı derken,arp poisoning demek istemedim spanning tree problemi kastettim
    zira 2. mesajda bpdu guard neticesi err-disable state e geçdiği söylenmiş
    sanırım konu başlığıda yanlış açılmış
    Sana cevap olarak değil TESLA nın başlığına cevap olarak yazmıştım...
    Mr.google knows everything , ask to him...

  7. #7
    TESLA isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Feb 2010
    Mesajlar
    46

    Standart

    " bunun haricinde mac-add tablosunu doldurarak yapılan bir saldırı vardır burdada max mac add sayısına ulaştığında switch hub gibi çalışmaya başlar" demişsiniz hocam. işte sorun aynen bu demek istiyorum bende sanki switch hub gibi çalışıyor , fakat aynı switch üzerinde vlan80 aktif olarak çalışmasını sürdürüyor, bu garip.

    trunkmode unda dediği gibi sebep vlan20 den kaynaklanıyor gibi geliyor, o err-disable veren portlarda vlan20 den server'ın ethernetine bir kablo gidiyor o kadar, ve 3 senedirde o kablo o portdan ve o servera gidiyordu.

    açıkcası çokda anlamıyorum log olarak ne göndermemi istersiniz ? garipliği görmek için. Şuan düzgün çalışıyor switch ve vlan20 tabikide. Fakat sorunun tekrarlanmaması için ne yapmam gerekiyor. Configure nedir ?

    Yardımlarınız için teşekkürler.

  8. #8
    trunkmode isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,332

    Standart

    Merhaba
    Hazır düzgün çalışıyorken port security konfigurasyonu yapıp neticesini
    izlemeye başlayabilirsiniz
    ilgili interfaceler altında;
    switchport port-security
    switchport port-security maximum 1
    switchport port security mac-address sticky
    switchport port-security violation ... burada bir kaç opsiyon var shutdown yaparsanız port kapatılır
    bu 4 komutu girip izlemeye başlayın tabi portlarlardan birisine hub bağlıysa
    maximum 1 komutu sorun olacaktır ona göre hesaplamanızı yaparsınız
    kolay gelsin

  9. #9
    Hypnotic isimli Üye şimdilik offline konumundadır Co Administrator
    Üyelik tarihi
    Oct 2008
    Bulunduğu yer
    İstanbul
    Mesajlar
    770

    Standart

    port securty ile ilgisi yok konunun;

    1- tüm portlar acces modda mıdır? [swithport mode access]
    1- sh arp çıktısını iletirmisiniz
    2- sh run ( port konfigürasyonlarının olması yeterli)
    3- vtp ve spanning tree aktifmi tüm switchlerde

    bunlar net olmadan net bişi sölemek pek mümkün değil ama tahmini olarak arp cacheini silip yeniden eklediğinde sorun kalmayacaktır diye düşünüyorum.
    //
    Ben senin beni pingleyebilme ihtimalini sevdim.
    Ben seninle bir gün bir debug çıktısında,
    Ben seninle sadece bilmek zorunda kalanların bildiği bir routing tablosunda olabilme ihtimalini sevdim.
    //

  10. #10
    trunkmode isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,332

    Standart

    diyelim ki saldırgan sürekli olarak farklı mac adrese sahip frame ler gönderiyor switche
    port security ile bu tip bir saldırının önüne geçebilirsiniz zaten arkadaşda bu ihtimal üzerine
    önlem sormuş nasıl alakası yok diyebiliyorsunuz hayret doğrusu

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok