ARP-запросы через Powershell

[lananet 2]

Товарисчи, ни у кого не было в сети такой бяки: куча арп-запросов с одного адреса к разным?

 

Broadcast ARP 60 Who has 10.х.х.х? Tell 10.х.х.х

 

Валят просто пачками. Циски конечно отбрасывают и вроде как особых последствий нет, кроме как постоянные перезагрузки роутеров Netis WF 2419, потому как у этих устройств есть баг - доступ к веб-админке по динамик-айпи, то есть из локалки. Вырубаем источник выключением TCP на сетевой.

 

Что за вирус - непонятно, но запускается он через powershell - идет постоянный перебор адресов. В process explorer видно, что powershell запускается из-под планировщика, но в самом планировщике никаких задач нет, и powershell удалить стандартным путем не получается, только unlooker-ом.

 

Полечили одного - появляются новые... 

[KaYot 3 708]

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

[mstsc 7]

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

[lananet 2]

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

[karyon 48]

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

[l1ght 377]

 

 

однако нереализуемо на наших версиях цисок

 

switchport protected

[karyon 48]

 

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

 

Такие редкие случаи в неизолированной сети могут однажды ее положить.  protected есть практически на всех версиях домовых цисок, кроме динозавров

[KaYot 3 708]

 

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

 

Вопрос топика - клиенты вешают друг другу роутеры. Собственно, в своем влане пусть сканируют что хотят, соседей не видят, BRASам фиолетово.

[karyon 48]

Про вешают роутеры - согласен, сори, изоляция поможет, тут выборочно топик просмотрел

 

А L3 цискам (Ip unnumberred), если стоят, то не фиолетово, я такое несколько лет назад наблюдал, 1000 абонентов по 30 пакетов arp в секунду на абонента  = 100% цпу практически любого l3 коммутатора с отваливанием функционала, при этом шторма вроде и нет.  Компам Bras'ам согласен, такое не грозит, хотя добавить загрузки проца может.