ARP шторм является отказом по общей причине, приводящий к потере управляемости - неработоспособности всей Ethernet-сети.
Компьютер с IP-адресом и сетевой картой с MAC-адресом включен в сеть, в которой все другие компьютеры могут по MAC-адресу определить его IP-адрес в соответствии с ARP-таблицами. И для АСУТП эти таблицы можно было бы статически "прошить", но тогда при замене сетевой карты одного компьютера все остальные должны сопоставить новую сетевую карту со старым IP-адресом. Требование удобства привело к созданию динамических ARP-таблиц и широковещательного
протокола ARP для их обновления.
Цитата:
В системах семейства Windows до NT 6.0 записи в таблице ARP, созданные динамически, остаются в кэше в течение 2-х минут. Если в течение этих двух минут произошла повторная передача данных по этому адресу, то время хранения записи в кэше продлевается ещё на 2 минуты. Эта процедура может повторяться до тех пор, пока запись в кэше просуществует до 10 минут. После этого запись будет удалена из кэша, и будет отправлен повторный запрос ARP.
То есть на ваших компьютерах независимо от Вас (даже если Вы - сотрудник подразделения информационной безопасности) раз в 2 минуты обновляется критически важная информация в автоматическом режиме.
А что произойдет, если периодичность 2 минуты не соблюдается?
Широковещательный шторм.
Цитата:
Считается, что приемлемая доля широковещательного трафика должна составлять 10% от трафика всей сети. Значение в 20% и выше должно классифицироваться как нештатная ситуация, носящая название «широковещательный шторм» (broadcast storm).
Цитата:
Сеть постепенно переполняется широковещательными пакетами, которых становится все больше, и приходит в нерабочее состояние.
Эксперимента ради, продолжили ждать. Сеть "легла" полностью еще минут через 10
Есть и
другие случаи.
Цитата:
В 2009 году в сети одного из наших клиентов случился бродкастовый шторм, который мгновенно перекинулся к нам, парализовав работу всей сети передачи данных компании. Отвалились почта, телефония и интернет, система мониторинга «сошла с ума» – и стало невозможно даже локализовать «первоисточник». Полная перезагрузка коммутатора не помогла. Нам ничего не оставалось, кроме как последовательно отключать ВСЕ порты, клиентские и свои собственные… Такой вот «черный понедельник».
Как позже выяснилось, один из сотрудников клиента перепутал порты оборудования – и закольцевал свою топологию на уровне бродкастового домена. Бывает.
Сам я имел дело непосредственно, когда компания-разработчик перезалила Ethernet-модули своих контроллеров и вся дублированная сеть легла. Пришлось восстанавливать через полное отключение питания и возврат к заводским настройкам.
Дополнительное требование удобства автоматического ввода в работу сетевого оборудования приводит к усложнению, несущему существенные скрытые угрозы. В части управляемости необходимо отметить, что состояния ARP-таблиц обычно не контролируются человеком-регулятором, у которого нет разнообразия управляющего воздействия на эти ситуации. Для целей АСУТП нужно было бы предоставить возможность персоналу на время включать/отключать режим автоматической конфигурации ARP-таблиц с обязательным отслеживанием результата. Таким образом, для этих состояний предусматриваются дополнительные управляющие воздействия.