Jump to content

ARP-запросы через Powershell

lananet

By lananet,
in Viruses and Antiviruses

 Share Followers 1

Recommended Posts

lananet

lananet 2

Posted
Posted

Товарисчи, ни у кого не было в сети такой бяки: куча арп-запросов с одного адреса к разным?

 

Broadcast ARP 60 Who has 10.х.х.х? Tell 10.х.х.х

 

Валят просто пачками. Циски конечно отбрасывают и вроде как особых последствий нет, кроме как постоянные перезагрузки роутеров Netis WF 2419, потому как у этих устройств есть баг - доступ к веб-админке по динамик-айпи, то есть из локалки. Вырубаем источник выключением TCP на сетевой.

 

Что за вирус - непонятно, но запускается он через powershell - идет постоянный перебор адресов. В process explorer видно, что powershell запускается из-под планировщика, но в самом планировщике никаких задач нет, и powershell удалить стандартным путем не получается, только unlooker-ом.

 

Полечили одного - появляются новые... 

Link to post
Share on other sites
lananet

lananet 2

Posted
  • Author
Posted

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

Link to post
Share on other sites
karyon

karyon 48

Posted
Posted

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

Link to post
Share on other sites
karyon

karyon 48

Posted
Posted

 

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

 

Такие редкие случаи в неизолированной сети могут однажды ее положить.  protected есть практически на всех версиях домовых цисок, кроме динозавров

Link to post
Share on other sites
KaYot

KaYot 3,738

Posted
Posted

 

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

 

Вопрос топика - клиенты вешают друг другу роутеры. Собственно, в своем влане пусть сканируют что хотят, соседей не видят, BRASам фиолетово.
Link to post
Share on other sites
karyon

karyon 48

Posted
Posted

Про вешают роутеры - согласен, сори, изоляция поможет, тут выборочно топик просмотрел :)

 

А L3 цискам (Ip unnumberred), если стоят, то не фиолетово, я такое несколько лет назад наблюдал, 1000 абонентов по 30 пакетов arp в секунду на абонента  = 100% цпу практически любого l3 коммутатора с отваливанием функционала, при этом шторма вроде и нет.  Компам Bras'ам согласен, такое не грозит, хотя добавить загрузки проца может.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...