вирус в сети ?

[ufoclub 0]

Нужна помощь! Мучаемся уже полторы недели.

Началось с того, что резко увеличился пинг на сервер. Решили ,что большая загрузка сервера. Но пинг не просто увеличился,он стал скачкообразно меняться .При этом страницы с инета еле грузились. Стали разбираться ,отключая ветви сети. При отключении одной из ветветй все пришло в норму.

По цепочке дошли до компа ,который портил нормальную работу сервера.

Отключили его. На следующий день все повторилось. Поставили программу

,которая отслеживает соответствие в сети айпи и мак адресов.

Увидели следующее : в сети есть компы , которые меняют айпи адреса.

При этом ,если меняется айпи на адрес другого клиента,то его комп не может нормально работать с инетом. Но хуже ,когда идет подмена адреса сервера.

Тогда вся сеть с трудом выходит , а иногда и не выходит в инет ( при этом сервер вообще не пингуется). Все компы с подменами оказались не закрытые фаерволом.Установили фаерволы. Не помогло. Прошлись антивирусами, не помогло. Переустановили систему( пока на двух) .На одном все нормально, на другом опять та же беда.

Какие подмечены особенности :

1. подмена идет на пяти-шести компах, но незакрытых фаерволом клиентов в сети явно гораздо больше.

2. подменяются айпи компов на этот момент работающих в сети

3. подменяютя одни и теже адреса ( каждый подменяющий комп соответчтвует одному и тому же подменяемому)

4.подмена происходит не сразу , а в какой-то момент икс

Вобще у нас до сих пор нет уверенности ,что это вирус. Есть еще два варианта:

1. глючит какой-то свич , но честно говоря за все время мы с таким выборочным глюком не сталкивались

2. человеческий фактор - кто-то запустил программулину и портит нам жизнь, но тогда два вопроса : можно ли дистанционно менять айпи на компах под виндой и собственно какой в этом глубокий смысл ?

[Dimension 37]

как насчеси соответствия IP + Mac ??

имхо, в сети абычный снифер...

[kvirtu 315]

ставь прогу ipguard - и будет тебе счастье

[delfin 3]

Проблема - примерно раз в час или два происходит пропажа связи с серваком, длительностью секунд на 10-15. Естесно за такое время не реально вычислить из какого сегмента может идти проблема. (инет по впн, 10-15 сек вполне достаточно для его обрыва, так что очень напрягает...) Вопрос - как или с какой программой можно определить айпи или мак компа, поскольку пологаю что это скорее всего вирус на компе пользователя (лей).

 

На серваке отображается примерно такое:

Mar 9 05:13:09 serv pppd[26374]: Modem hangup

Mar 9 05:13:09 serv pppd[28129]: Modem hangup

Mar 9 05:13:09 serv pppd[3172]: Connection terminated.

Mar 9 05:13:10 serv pppd[2964]: Terminating on signal 15

Mar 9 05:13:10 serv pppd[2964]: Exit.

Mar 9 05:13:10 serv pppd[4343]: Connect time 2.3 minutes.

Mar 9 05:13:10 serv pppd[4343]: Sent 33 bytes, received 1735 bytes.

Mar 9 05:13:10 serv pppd[4343]: Connection terminated.

Mar 9 05:13:10 serv pppd[3010]: Connect time 4.1 minutes.

Mar 9 05:13:10 serv pppd[3010]: Sent 41 bytes, received 1934 bytes.

Mar 9 05:13:10 serv pptpd[2962]: CTRL: Client 192.168.10.8 control connection finished

Mar 9 05:13:10 serv pptpd[2962]: CTRL: EOF or bad error reading ctrl packet length.

Mar 9 05:13:10 serv pptpd[2962]: CTRL: couldn't read packet header (exit)

Mar 9 05:13:10 serv pptpd[2962]: CTRL: Fatal error reading control message in disconnect sequence

Mar 9 05:13:10 serv pppd[2793]: Exit.

Mar 9 05:13:10 serv pptpd[2792]: CTRL: Client 192.168.20.158 control connection finished

Mar 9 05:13:11 serv pppd[3172]: Terminating on signal 15

Mar 9 05:13:11 serv dhcpd: DHCPINFORM from 192.168.30.63 via eth0: not authoritative for subnet 192.168.0.0

Mar 9 05:13:11 serv pppd[26374]: Connect time 82.9 minutes.

Очень много раз повторяется Modem hangup и Terminating on signal 15.

[NightNET 81]

Помогите , тоже самое

скрин

2003+ТИ+АвастСервер

Жуткий пинг из сети , пинговал с разных машин , при этом жутко лагает сам и сервер , не смотря на 4-х ядерность , отключаю магистраль ухода , пинг сразу нормальный , сам пинг не имеет периодичности , появился 10-20 минут поколбасило и опять <1 =1 , может появицца в любой момент , на соседний сераер пинг стабильный , тоесть проблемы в свичах и магистрали - нет.

 

Не помогла переустановка ОС , ни отключение Антивира ,ни замена сетевых карт , ни установка Агнитум Фаервола , ipchmon ничего криминального не показывает , оборудывание в сети не управляемое . Что это за апокалипсис ,подозрений на ТИ также мало , что можно предпринять ?

[Foster 0]

только сервер так пингуется? компы между собой нормально? тогда похоже что банально один из компов в сети имеет такой же айпи как сервер

ноут в ноги и по крышам...

[NightNET 81]

Да только сервер .

Конфликта по айпи - нет , винда увидила б . Тут в другом дело , Олег88 подсказал вариант с центр. свичем , у нас мыло DES-1226G , будем копить на DES-3526 , это хоть свичем можно назвать . Вероятно решит проблему , а если и не решит , то будет в 1000 раз полезней в центре , чем то , что стоит сейчас ...

[Foster 0]

замена - пол беды. А причины?

[NightNET 81]

Немного не понял ..причины чего ? замены свича ? ..сеть ростет , текста много начитал на этом форуме по-поводу ядра сети , да и функцыональность и безопасность на уровне доступа этого свича нравится , в частности IP-MAC-Port Binding: 512 записей .

Бегать с ноутом в принцыпе можно , недавно уже бегали , но это , если гадость идет не от структуры сети , а от конкретного ПК и желательно одного .

[Foster 0]

причины такого прохождения

от того что много пробежало текста на 100мбит врятли будет вышескринованое, посмотрим на свитч

разберетесь если - отпишись, интересно

[zulu_Radist 856]

ноут в ноги и по крышам...

Не забыть прихватить дубинку. Ох и попили моей крови такие уроды с подменами...

Иногда если ветка слишком длинная и этот сучонок включается когда хочет, например ночью, то удобно поставить на пол ветки управляемый свитч и включать выключать порты, поочередно, сначала мастриальные уходящие, потом если не помогло то клиентские.

[Колян 2]

Скорее всего, что арп спуфинг это. Смотреть на арп таблицу биллингового сервака, если увидишь 2 одинковых мака в таблице, ищи кто это, дай ему по голове дубинкой, и скажи, чтобы комп на вирусы почистил, и что будет отключен до выяснения обстоятельств. Я уже пятерых так словил. Ну, и желательно сделать статическую арп таблицу на серваке.

[NightNET 81]

арп таблицу биллингового сервака ...знать бы гдето это чудо на 2003ей ...ipchmon это не увидит , он обратное видит .

 

2Foster: в данный момент переключил сервер на отдельный 8 портовый свич , кстати при переключении , и замечал даже при перезагрузке свича сервак ребутится жостко -

 

--

Причина непредвиденного завершения работы данного компьютера, предоставленная пользователем BILLING\Administrator: Отказ системы: Ошибка STOP

Код причины: 0x805000f

Код ошибки:

Строка проверки: 0x000000c2 (0x00000007, 0x0000121a, 0x02c70000, 0x88b75008)

Комментарий: 0x000000c2 (0x00000007, 0x0000121a, 0x02c70000, 0x88b75008)

----

Код ошибки 000000c2, параметр1 00000007, параметр2 0000121a, параметр3 02c70000, параметр4 88b75008.

--

 

Посоветуйте что лучьше на ядро сети , бюджет до 350 у/е

D-Link DES-3526 или Edge-Core ES3526XA ?

[zulu_Radist 856]

3526 обкатанная лошадка, бери ее.

Ты луше найди урода который тебя спуфит, йопт, кардинально L2 свитч не решит проблемы, нужна дубинка и потяжелее .

[tihon 8]

3526 обкатанная лошадка, бери ее.

Ты луше найди урода который тебя спуфит, йопт, кардинально L2 свитч не решит проблемы, нужна дубинка и потяжелее .

а кто вам сказал, что Es3526XA - не обкатанная?

 

кстати, у меня с апреля они все будут второй хардварной версии + цену я на них даю интереснее д-линка, а тем кто не одну берёт гораздо интереснее, так что, если кому надо - милости прошу

[Колян 2]

арп таблицу биллингового сервака ...знать бы гдето это чудо на 2003ей ...ipchmon это не увидит , он обратное видит .

 

2Foster: в данный момент переключил сервер на отдельный 8 портовый свич , кстати при переключении , и замечал даже при перезагрузке свича сервак ребутится жостко -

 

--

Причина непредвиденного завершения работы данного компьютера, предоставленная пользователем BILLING\Administrator: Отказ системы: Ошибка STOP

Код причины: 0x805000f

Код ошибки:

Строка проверки: 0x000000c2 (0x00000007, 0x0000121a, 0x02c70000, 0x88b75008)

Комментарий: 0x000000c2 (0x00000007, 0x0000121a, 0x02c70000, 0x88b75008)

----

Код ошибки 000000c2, параметр1 00000007, параметр2 0000121a, параметр3 02c70000, параметр4 88b75008.

--

 

Посоветуйте что лучьше на ядро сети , бюджет до 350 у/е

D-Link DES-3526 или Edge-Core ES3526XA ?

Если ось ребутается, тогда смотри в сторону глючности сервака

[Foster 0]

2Foster: в данный момент переключил сервер на отдельный 8 портовый свич , кстати при переключении , и замечал даже при перезагрузке свича сервак ребутится жостко

Чего-то я в этой жизни не понимаю раз от состояния л2 свитча зависит здоровье сервера. Под винду не подскажу, ну хоть сниффер чтоли - посмотреть что с сети сыпется.

[NightNET 81]

В данный момент полёт нормальный от утра и ниразу не перегрузился , криминального пинга также не наблюдается О_О ..интиресно , завтра буду дальше мониторить неужели всё это творил старенький свич .

 

2tihon: Цену пожалуйста или ф студию , или хоть в аську 275114410 , интиресно

[rtrt 53]

У нас тоже похожая проблема. стоит в центре 3526. Включена функция IPMB. С недавнего времени в снифере заметил с определенных адресов (допустим 10.0.0.5) перебор адресов(arp запросы) арп спуфинг.

 

10.0.0.5 broadcast arp who has 10.0.X.X tell 10.0.0.5

10.0.0.5 broadcast arp who has 10.0.Y.Y tell 10.0.0.5

 

 

 

Где Х и Y числа идущие по порядку, т.е. 10.0.2.1; 10.0.2.2, 10.0.2.3 и т. д.

 

на одном из серверов началось вот это "Neighbour table overflow", в сзязи с этим сервер начал подолгу думать при обращении к нему, и думаю не только на нем.

 

echo 256 > /proc/sys/net/ipv4/neigh/default/gc_thresh1

echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh2

echo 2048 > /proc/sys/net/ipv4/neigh/default/gc_thresh3

 

это не помогает