我们遇到了一个间歇性故障,它影响了我们的一台 HP Procurve 交换机上的控制系统之一。
由于某种原因,这台直接连接到 HP 交换机的 PLC(10mbit 端口 - 192.168.6.56)间歇性地开始接收并非发往它的数据。数据从具有最新固件 (192.168.6.218) 的 Thecus NAS 发送到运行 Win2003R2 和 SAP (192.168.6.225) 的物理 IBM 服务器。问题不仅仅发送到这台服务器,过去也曾发送到其他物理服务器,但总是来自 Thecus NAS。
我正在使用监控端口来通过 wireshark 查看 PLC 的输入/输出情况 - 通常每 2 或 3 分钟大约有 1mb 的输入/输出 - 只有一台服务器询问线圈的状态。问题发生时,大量数据被输入到 PLC 线路上 - 在此捕获的实例中,不到一分钟内约有 67mb。
因此,无法查询 PLC,因为端口实际上被 DOS 攻击,从而导致我们工厂的一部分瘫痪。我知道将生产与 IT 放在同一个 vlan 上不是一个好主意 - 我同意,但是目前无法更改(必须等待 3 个月),而且问题只是在过去 3 个月才开始发生。这是从 HP Switch 上的 PLC 端口捕获的 Thecus NAS 发送的数据包之一的屏幕截图:
这个 1024kb 文件中有超过 700 个这样的数据包。
如果有人知道可能发生了什么,我们将不胜感激。如果您需要了解更多信息,请告诉我!
干杯!
答案1
交换机上的 CAM(MAC 地址)表是否超载?如果是,它会将流量从所有端口发送出去,因为它不知道应该使用哪个端口——这实际上会将交换机变成一个集线器。一种常见的攻击是向路由器的 CAM 表中充斥无效的 MAC 地址,直到 CAM 表崩溃,然后嗅探进入攻击主机的所有流量。
http://en.wikipedia.org/wiki/MAC_flooding
设备配置错误也可能发生这种情况。当这种情况开始发生时,您是否在网络中添加了新内容?
您可以在大多数 HP 交换机上配置端口安全性,这将限制每个端口可以学习的 MAC 地址数量,并减轻攻击:
http://www.hp.com/rnd/device_help/help/hpwnd/webhelp/HPJ4121A/security_perports.htm
答案2
确保流量确实来自 Thecus NAS。我认为有人在伪造 MAC 地址。
答案3
看起来 Thecus 可能存在故障,但是 HP 支持人员会在故障发生时再次查看它 - 他们想看看是交换机还是 nas 导致了洪水。
他们想在故障发生时看到两种不同的捕获:使用镜像端口捕获 NAS,以及在故障发生时捕获交换机(只需将笔记本电脑插入交换机,不要镜像任何东西)。
谢谢大家的帮助!