[linux] Re: ARP in the linux kernel?
Robert M. Stockmann
stock op stokkie.net
Za Sep 16 14:46:53 CEST 2006
On Sat, 16 Sep 2006, Martijn van Oosterhout wrote:
> Date: Sat, 16 Sep 2006 12:09:20 +0200
> From: Martijn van Oosterhout <kleptog op svana.org>
> Reply-To: linux op lists.nllgg.nl
> To: linux op lists.nllgg.nl
> Subject: [linux] Re: ARP in the linux kernel?
>
> On Sat, Sep 16, 2006 at 10:29:41AM +0200, Hugo van der Kooij wrote:
> > Maar Linux deelt de ARP table over alle interfaces en als ik dan een Linux
> > router/firewall heb met 10 interfaces dan is het theoretisch maximum
> > ~10000 devices en heb ik nooit genoeg aan deze 1024 entries.
> Maar je hebt alleen en ARP request nodig als je met de host wil praten.
> Het lijkt mij onwaarschijnlijk dat je meer dan 1024 direct aangesloten
> hosts wil praten binnen een minuut, maar ja, alles is mogelijk.
>
> Arp is een cache alleen, als je het leeg maakt maakt het niet veel uit.
>
> > Deze firewalls lijken te crashen op een overvloed aan ARP requests. (Dat
> > dat een slecht idee is heb ik wel duidelijk gemaakt aan de betreffende
> > leverancier. ;-)
>
> Waarom zijn het zoveel arp requests? Dat is de vraag, heb je echt
> zoveel computers direct aangesloten? Wie probeert met ze te praten?
>
een overvloed aan arp requests kan alleen gebeuren als er op je
local LAN rare dingen gebeuren. B.v. een pc met een kapotte
netwerkkaart, of een LAN waar inderdaad 1024 of meer pc's etc.
tegelijk arp requests opvragen.
Niemand vanaf het Internet kan een ARP storm generen, omdat er geen
fysiek contact met de netwerkkaart van je server is, i.e. niet direct
met switch poort is aangesloten op je local LAN.
Verder zijn de betere switches hierop voorbereid, en kunnen ARP
storms simpel uitschakelen door de betreffende switchpoort plat te
gooien.
Vr.gr.
Robert
--
Robert M. Stockmann - RHCE
Network Engineer - UNIX/Linux Specialist
crashrecovery.org stock op stokkie.net
More information about the Linux
mailing list