Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Welcher DoS Schutz auf dem Managed Switch stört das Windows Netzwerk (Netzwerkumgebung)?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Wired-Life

Wired-Life (Level 1) - Jetzt verbinden

15.05.2013 um 00:44 Uhr, 3102 Aufrufe, 6 Kommentare

Ich war gestern mal so frei und hab sicherheitsfanatisch wie ich bin einfach mal alle DoS Schutzmaßnahmen auf unserem Managed Switch aktviert und musste dann feststellen das die Netzwerkumgebung nicht mehr alle PC's und Server gelistet hat.
Nach überprüfen mit diesem Tool
http://scottiestech.info/2009/02/14/how-to-determine-the-master-browser ...
hab ich dann festgestellt das die meisten PC's nur noch sich selbst als Master Browser drinne hatten.
Was ist da passiert?

Aktiviert waren folgende Defend Types:
Land Attack
Scan SYNFIN
Xmascan
NULL Scan
SYN sPort less 1024
Blat Attack
Ping Flooding
SYN/SYN-ACK Flooding
Mitglied: brammer
15.05.2013 um 06:35 Uhr
Hallo,

ohne weitere Informationen was du auf welchen Switchen aktiviert und konfiguriert hast wird das schwierig...

brammer
Bitte warten ..
Mitglied: aqui
15.05.2013, aktualisiert um 08:38 Uhr
Eigentlich ist das Blödsinn, denn kein Switch kann Endgeräte schützen. Die ganzen SYN Attacken beziehen sich auf einen Sessionaufbau zwischen Endgeräten an denen Ein Switch aber niemals beteiligt ist, denn wie jeder Netzwerker weiss forwardet der nur dumm Frames auf Basis seiner Mac Adresse, mehr nicht. Rein Netzwerk technisch gesehen ist so ein aktiver Schutz angeblich für Endgeräte eigentlich vollkommen unsinnig !
Der Schutz gilt vermutlich nur ihm selber bzw. seinem eigenen Management Interface.
Sinnvoll wäre mal eine Info um welchen Switch es sich handelt (Modell) dann könnte man im Handbuch mal genau nachlesen WAS diese Massnahmen und Kommandos angeblich bewirken sollen. Du hast das ja vermutlich nicht gemacht
Bitte warten ..
Mitglied: Wired-Life
15.05.2013, aktualisiert um 13:58 Uhr
Wir haben bloss ein Managed Switch (TL-SG3216) und da waren die oben genannten Defend Types aktiviert.

Land Attack The attacker sends a specific fake SYN packet to the destination Host.
Since both the source IP address and the destination IP address of the SYN
packet are set to be the IP address of the Host, the Host will be trapped in
an endless circle for building the initial connection. The performance of the
network will be reduced extremely.

Scan SYNFIN The attacker sends the packet with its SYN field and the FIN field set to 1.
The SYN field is used to request initial connection whereas the FIN field is
used to request disconnection. Therefore, the packet of this type is illegal.
The switch can defend this type of illegal packet.

Xmascan The attacker sends the illegal packet with its TCP index, FIN, URG and
PSH field set to 1.

NULL Scan Attack The attacker sends the illegal packet with its TCP index and all the control
fields set to 0. During the TCP connection and data transmission, the
packets with all the control fields set to 0 are considered as the illegal
packets.

SYN packet with its source port
less than 1024
The attacker sends the illegal packet with its TCP SYN field set to 1 and
source port less than 1024.

Blat Attack The attacker sends the illegal packet with its source port and destination
port on Layer 4 the same and its URG field set to 1. Similar to the Land
Attack, the system performance of the attacked Host is reduced since the
Host circularly attempts to build a connection with the attacker.

Ping Flooding The attacker floods the destination system with Ping broadcast storm
packets to forbid the system to respond to the legal communication.

SYN/SYN-ACK Flooding The attacker uses a fake IP address to send TCP request packets to the
Server. Upon receiving the request packets, the Server responds with
SYN-ACK packets. Since the IP address is fake, no response will be
returned. The Server will keep on sending SYN-ACK packets. If the attacker
sends overflowing fake request packets, the network resource will be
occupied maliciously and the requests of the legal clients will be denied.
Bitte warten ..
Mitglied: Wired-Life
24.05.2013 um 00:44 Uhr
So wie es aussieht scheint es der Schutz gegen die Blat Attack zu sein.
Weiss zwar nicht warum aber wenn ich ihn an habe gibt es kein Master Browser mehr und ich sehe nur noch wenige PC's in der Netzwerkumgebung.
Bitte warten ..
Mitglied: aqui
24.05.2013 um 10:39 Uhr
Na ja das ist ein billiger TP-Link China Switch. Da kannst du mal von ausgehen das der keinerlei DoS Schutz implementiert hat, das ist Unsinn auf solch billigen Consumer Produkten. Hier verwechselst du also was.
Zumal bei der BLAT Attacke ja auch ganz klar steht das der auf "Layer 4" passiert !!
Kein Switch der Welt arbeitet auf Layer 4 !! Jeder einfache Netzwerker weiss sowas. Ein Layer 2 Switch arbeitet nur auf Basis der Mac Adressen wie der Name schon sagt und ein L3 Switch nur auf IPs.
Dein TP-Link Billigteil ist nur ein simpler L2 Switch ( http://www.tp-link.com/ch/products/details/?model=TL-SG3216 ) Der hat also gar keine Ahnung was in höheren Layern abgeht und kümmert sich logischerweise auch nicht drum.
Das dort blumig beschrieben wird als DoS Schutz ist nicht anderes als eine simple Broadcast Controll ACL nicht mehr und nicht weniger.
Das alles hat aber rein gar nichts mit deinem Problem zu tun, und wenn ist es ein Fehler im Switch.
Wenn deine Netzwerkumgebung flöten geht filtert der Switch UDP Naming Broadcasts was er aber nicht darf. Auch nicht mit DoS Schutzfunktion.
Da sollte man eher einen Firmware Bug vermuten bei solcherlei Produkten ?
Hast du den Switch denn wenigstens auf die aktuellste Firmware geflasht ??
Ansonsten hilft dir dann nur ein Anruf bei der TP Hotline !
Bitte warten ..
Mitglied: Wired-Life
24.05.2013 um 14:30 Uhr
Hab direkt nach der ersten Inbetriebnahme auf Firmware Version: 2.1.1 Build 20130128 Rel.37336 upgedated.
Lustigerweise ist diese jetzt nicht mehr unter Downloads zu finden?!
Wie auch immer, mit solch kleinen Bugs kann ich leben. Kann sich halt nicht jeder einen 1000 Euro Cisco Switch leisten...
Der Rest den ich nutze funktioniert ja einwandfrei, darunter:
SSH zur Verwaltung
Traffic Monitor
LACP
Port Mirroring
Loopback Erkennung
Port Security (limitiert max. Anzahl der MAC's pro Port)
ARP Poison Erkennung & Schutz (selbst getestet mit Tools unter Backtrack 5 und Cain & Abel unter Windows)
Die DoS Schutz Geschichte werde ich demnächst mal auf Funktion überprüfen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
Windows Netzwerk einrichten (7)

Frage von Enel85 zum Thema Netzwerke ...

Hyper-V
Windows Server 2012 R2 NIC Teaming mit Lancom Switch (3)

Frage von onkel87 zum Thema Hyper-V ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...