Перейти до

ARP-запросы через Powershell


Рекомендованные сообщения

Товарисчи, ни у кого не было в сети такой бяки: куча арп-запросов с одного адреса к разным?

 

Broadcast ARP 60 Who has 10.х.х.х? Tell 10.х.х.х

 

Валят просто пачками. Циски конечно отбрасывают и вроде как особых последствий нет, кроме как постоянные перезагрузки роутеров Netis WF 2419, потому как у этих устройств есть баг - доступ к веб-админке по динамик-айпи, то есть из локалки. Вырубаем источник выключением TCP на сетевой.

 

Что за вирус - непонятно, но запускается он через powershell - идет постоянный перебор адресов. В process explorer видно, что powershell запускается из-под планировщика, но в самом планировщике никаких задач нет, и powershell удалить стандартным путем не получается, только unlooker-ом.

 

Полечили одного - появляются новые... 

Ссылка на сообщение
Поделиться на других сайтах

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

Ссылка на сообщение
Поделиться на других сайтах

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

Ссылка на сообщение
Поделиться на других сайтах

 

D-Link - traffic segmentation, huawei - port-isolate, cisco - Private VLAN, Eltex - Protected ports.

Это все известно ) однако нереализуемо на наших версиях цисок, не понимают они приватные вланы, увы. Вернее, есть несколько новых, но их мало. А вообще, может кто-то из практиков аргументировать, зачем изолировать каждого юзера (сейчас dhcp + pppoe)? Ну, кроме вот таких редких случаев борьбы со штормом.

 

Такие редкие случаи в неизолированной сети могут однажды ее положить.  protected есть практически на всех версиях домовых цисок, кроме динозавров

Ссылка на сообщение
Поделиться на других сайтах

 

Не в курсе, vlan per user не дает посмотреть на новинки вирусного рынка((

Еще как дает, никакой разницы нет, разве что  вы подсеть /32 абоненту даете , да и то не панацея.

Смысл в том, что вирусня на компах часто регулярно сканирует свою подсеть чем генерирует множество arp запросов, которые сильно грузят проц вышеописанных цисок.

С компами проще в том смысле, что cpu на порядок веселе

 

Вопрос топика - клиенты вешают друг другу роутеры. Собственно, в своем влане пусть сканируют что хотят, соседей не видят, BRASам фиолетово.
Ссылка на сообщение
Поделиться на других сайтах

Про вешают роутеры - согласен, сори, изоляция поможет, тут выборочно топик просмотрел :)

 

А L3 цискам (Ip unnumberred), если стоят, то не фиолетово, я такое несколько лет назад наблюдал, 1000 абонентов по 30 пакетов arp в секунду на абонента  = 100% цпу практически любого l3 коммутатора с отваливанием функционала, при этом шторма вроде и нет.  Компам Bras'ам согласен, такое не грозит, хотя добавить загрузки проца может.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...