Перейти к содержимому
Local

Рекомендованные сообщения

Товарисчи, ни у кого не было в сети такой бяки: куча арп-запросов с одного адреса к разным?

 

Broadcast ARP 60 Who has 10.х.х.х? Tell 10.х.х.х

 

Валят просто пачками. Циски конечно отбрасывают и вроде как особых последствий нет, кроме как постоянные перезагрузки роутеров Netis WF 2419, потому как у этих устройств есть баг - доступ к веб-админке по динамик-айпи, то есть из локалки. Вырубаем источник выключением TCP на сетевой.

 

Что за вирус - непонятно, но запускается он через powershell - идет постоянный перебор адресов. В process explorer видно, что powershell запускается из-под планировщика, но в самом планировщике никаких задач нет, и powershell удалить стандартным путем не получается, только unlooker-ом.

 

Полечили одного - появляются новые... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

однако нереализуемо на наших версиях цисок
 

switchport protected

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

 

Такие редкие случаи в неизолированной сети могут однажды ее положить.  protected есть практически на всех версиях домовых цисок, кроме динозавров

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

 

Вопрос топика - клиенты вешают друг другу роутеры. Собственно, в своем влане пусть сканируют что хотят, соседей не видят, BRASам фиолетово.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про вешают роутеры - согласен, сори, изоляция поможет, тут выборочно топик просмотрел :)

 

А L3 цискам (Ip unnumberred), если стоят, то не фиолетово, я такое несколько лет назад наблюдал, 1000 абонентов по 30 пакетов arp в секунду на абонента  = 100% цпу практически любого l3 коммутатора с отваливанием функционала, при этом шторма вроде и нет.  Компам Bras'ам согласен, такое не грозит, хотя добавить загрузки проца может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×