Задать вопрос

Что вызывает eapol start флуд? атака DDoS? Как найти/локализовать источник?

В одной из ведомственных мне локальных сетей на 60+ компьютеров периодически возникает флуд пакетами EAPOL Start. В какой-то момент вал пакетов превышает критический порог и некоторые компьютеры и девайсы теряют связь.

начинается всё внезапно:

5689f5282bed47fab5ed3222af5b1906.png
и далее 10000+ пакетов в секунду. Победить флуд удается перезапуском коммутаторов в ядре и на некоторых ветках.

Источником пакета указывается MAC компьютера, который на начало флуда был физически отключен от электросети. В предыдущий инцидент указывался другой компьютер, в другой раз так же был иной MAC. Всегда указываются MAC-адреса различных компьютеров.

Моё личное мнение что это управляемая DDoS атака изнутри, т. к. возникает всегда в ответственный момент, когда принимается участие в некоторых тендерах, или когда я ухожу в отпуск/отгул. Это мой третий отпуск на работе, сегодня фактически его первый день. В тендерах участие проводится каждый день, но флуд может возникает раз в 2-5 недель, по 1-2 раза за неделю 1-2 раза в течении рабочего дня.

У меня не хватает опыта и знаний что бы найти источник, и я нуждаюсь в советах со стороны, т.к. проконсультироваться не с кем.

UPD:
Сегодня вновь повторилось. MAC-источник вновь другой:
445f2be633f2420a973439c5ae1e52bd.jpg
  • Вопрос задан
  • 223 просмотра
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
promychev
@promychev
Системный администратор
Если хотите наш сервис возьмет вашу проблему на себя.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы