Jump to content
Local
lananet

ARP-запросы через Powershell

Recommended Posts

Товарисчи, ни у кого не было в сети такой бяки: куча арп-запросов с одного адреса к разным?

 

Broadcast ARP 60 Who has 10.х.х.х? Tell 10.х.х.х

 

Валят просто пачками. Циски конечно отбрасывают и вроде как особых последствий нет, кроме как постоянные перезагрузки роутеров Netis WF 2419, потому как у этих устройств есть баг - доступ к веб-админке по динамик-айпи, то есть из локалки. Вырубаем источник выключением TCP на сетевой.

 

Что за вирус - непонятно, но запускается он через powershell - идет постоянный перебор адресов. В process explorer видно, что powershell запускается из-под планировщика, но в самом планировщике никаких задач нет, и powershell удалить стандартным путем не получается, только unlooker-ом.

 

Полечили одного - появляются новые... 

Share this post


Link to post
Share on other sites

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Share this post


Link to post
Share on other sites

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Share this post


Link to post
Share on other sites

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

Share this post


Link to post
Share on other sites

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

Share this post


Link to post
Share on other sites

 

 

однако нереализуемо на наших версиях цисок
 

switchport protected

Share this post


Link to post
Share on other sites

 

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

 

Такие редкие случаи в неизолированной сети могут однажды ее положить.  protected есть практически на всех версиях домовых цисок, кроме динозавров

Share this post


Link to post
Share on other sites

 

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

 

Вопрос топика - клиенты вешают друг другу роутеры. Собственно, в своем влане пусть сканируют что хотят, соседей не видят, BRASам фиолетово.

Share this post


Link to post
Share on other sites

Про вешают роутеры - согласен, сори, изоляция поможет, тут выборочно топик просмотрел :)

 

А L3 цискам (Ip unnumberred), если стоят, то не фиолетово, я такое несколько лет назад наблюдал, 1000 абонентов по 30 пакетов arp в секунду на абонента  = 100% цпу практически любого l3 коммутатора с отваливанием функционала, при этом шторма вроде и нет.  Компам Bras'ам согласен, такое не грозит, хотя добавить загрузки проца может.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×