Full 0 Опубликовано: 2008-05-26 08:02:54 Share Опубликовано: 2008-05-26 08:02:54 Проблема в том что уже 5 день у меня в сети случаются казусы... Всё началось с того что стал меняться пинг от основного шлюза, <1мс до 500мс, что самое интересное загрузка проца на серваке нах. в пределах 20% , канал был пригружен на 30Мбит... Вот только после этого я стал проверять коммутаторы на на кол переданной инфы.. И что самое странное я увидел что на один порт приходит и уходит траффик превышающий или равный ВСЕМУ траффик коммутатора...... Пробив по портам я нашел клиента куда он весь шел и отключил клиента, при этом пинг на сервер ПРОПАЛ и только через секунд 5 опять появился ... равный <1мс . Я думал что всё , что нашел злоумышленника.... но торжество было не долго... Опять таже самая фигня но уже с другим клиентом... потом с другим... Вот теперь сижу в недоумении... Ситуация какая ... зараженная тачка клиента рассылает всем машинам пакеты с айпишиником шлюза но с со соим маком, весь трафик, от всех машин перенаправляется на эту машину, а дальше эта машина перенаправляет на основной шлюз (на основном шлюзы все айпи видны с одним маком зараженной машины).... При этом все клиенты сети стали жаловаться что антивирус кричит что все сайты заражены вирусом Win32-Tojan ... Мне понятен принцип... но я не могу придумать как с этой проблемой разобраться... Подскажите ... Ссылка на сообщение Поделиться на других сайтах
Foster 0 Опубліковано: 2008-05-26 08:13:20 Share Опубліковано: 2008-05-26 08:13:20 возможно http://www.netoptima.in/arprotect/ Ссылка на сообщение Поделиться на других сайтах
tyoma 79 Опубліковано: 2008-05-26 08:13:34 Share Опубліковано: 2008-05-26 08:13:34 вирус видел уже такое люди до сих пор бегают в поисках энного вируса Ссылка на сообщение Поделиться на других сайтах
Флэшмобер 5 Опубліковано: 2008-05-26 08:22:58 Share Опубліковано: 2008-05-26 08:22:58 Было в сети. Парило с месяц пока не вывели заразу... надёжно лечицца только format'ом всех винтов зараженной машины. Предварительно для устранения и профилакти - временное отключение юзера чей MAC напрягает. Ссылка на сообщение Поделиться на других сайтах
Marius 316 Опубліковано: 2008-05-26 09:29:37 Share Опубліковано: 2008-05-26 09:29:37 Все сказали верно - вирус. Лечение одно - формат С. Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-05-26 10:23:09 Share Опубліковано: 2008-05-26 10:23:09 да ладно уж формат..... avast нормально его удаляет.... Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-05-26 10:34:18 Share Опубліковано: 2008-05-26 10:34:18 как показала практика - если пофильтровать виндовс-нетворк на свитчах то эта зараза не размножается. Т.е. Есть шанс что человек схватит её в инете, но по сети оно не расползется. на дес-3526 нормально все порезали и живем почти спокойно. Видел на наг.ру или хаб.ру народ анализировал трафик зараженной машины и пришел к выводу что эта зараза управляется с инета. Т.е. она получает команды на спуфинг и размножение от злоумышленника. Так там люди писали адреса на которые оно стучится в инет за командами и обновлениями для себя. Если перекрыть трафик на эти адреса то типа эта гадость живет просто на компе. Щас ссылку не могу найти. Ещё замечено что никогда не спуфит одновременно более одного компа. Т.е. эта гадость постоянно слушает сетевушку на предмет такого же спуфинга. Только отключаешь одного абика в сегменте - сразу начинает второй. Ссылка на сообщение Поделиться на других сайтах
Full 0 Опубліковано: 2008-05-26 12:08:18 Автор Share Опубліковано: 2008-05-26 12:08:18 Да именно так как ты описал... если бы нашел сылку на айпи, было бы очень хорошо Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-05-26 19:56:41 Share Опубліковано: 2008-05-26 19:56:41 поснифайте зараженный комп он тоже постоянно обновляет свои базы и наверняка обновляет забаненые адреса Ссылка на сообщение Поделиться на других сайтах
Full 0 Опубліковано: 2008-05-26 20:44:41 Автор Share Опубліковано: 2008-05-26 20:44:41 так и сделаем Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2008-05-27 01:04:28 Share Опубліковано: 2008-05-27 01:04:28 Собрал программу, которая защищает от атак по сети. http://forum.elizovo.ru/index.php?showtopic=10881 Если нужны виндовые шары, то ставится версия 1.6. Если не нужны, то можно ставить 1.5 (там 445 порт закрывается). Программа представляет собой wipfw с уже написанными правилам. Пользователю не нужно вообще ничего настраивать. Только установить 1 раз. И она работает тихо и незаметно. За год работы на мой комп (на котором только эта программа и стоит от сетевых атак) ни одной атаки. Могу посоветовать ставить что-нибудь подобное пользователям) Ссылка на сообщение Поделиться на других сайтах
chupyc 9 Опубліковано: 2008-12-17 10:23:25 Share Опубліковано: 2008-12-17 10:23:25 Собрал программу, которая защищает от атак по сети.http://forum.elizovo.ru/index.php?showtopic=10881 по ссылке ничего не нашел, вернее скачивание недоступно... можешь как-то скинуть на обменник, или мне на почту??? chupyc@rambler.ru Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2008-12-17 10:41:24 Share Опубліковано: 2008-12-17 10:41:24 А еще бы исходники такой проги, чтоб вкомпилить в авторизатор СТГ. Мы так уже пытаемся реализовать антиспуф http://www.killprog.com/etcr.html AntiSpoof v1.1 (Win 98 and higher) Это программа призвана бороться с ARP спуфингом в локальной сети. Она умеет через заданный интервал времени обновлять сведения в ARP таблице локальной системы для заданных IP адресов на заданные MAC адреса. По умолчанию обновление проводится каждые 100мсек. Ссылка на сообщение Поделиться на других сайтах
chupyc 9 Опубліковано: 2008-12-17 14:09:50 Share Опубліковано: 2008-12-17 14:09:50 А еще бы исходники такой проги, чтоб вкомпилить в авторизатор СТГ.Мы так уже пытаемся реализовать антиспуф http://www.killprog.com/etcr.html AntiSpoof v1.1 (Win 98 and higher) Это программа призвана бороться с ARP спуфингом в локальной сети. Она умеет через заданный интервал времени обновлять сведения в ARP таблице локальной системы для заданных IP адресов на заданные MAC адреса. По умолчанию обновление проводится каждые 100мсек. возможно http://www.opennet.ru/prog/info/2582.shtml поможет Ссылка на сообщение Поделиться на других сайтах
Maxxx 446 Опубліковано: 2008-12-17 15:59:03 Share Опубліковано: 2008-12-17 15:59:03 Тоже боремся с этой проблемой. Какие антивирусы это нормально ловят и какое офф название вируса, кто знает? Ссылка на сообщение Поделиться на других сайтах
JMan 1 Опубліковано: 2008-12-17 22:03:27 Share Опубліковано: 2008-12-17 22:03:27 1. Фильтрация на шлюзе арп пакетов с проверкой на правильность связки мака айпи (и логирования анормальных случаев), а бы шлюз не отправлял трафик с инета через комп с вирусом. А если в авторизатор (если есть) вбить функции прописывания мака шлюза как статического, то не прорвется такая гадость . 2. Фильтрация трафика в инет по связки мак айпи на шлюзе сразу выявляет вирус у всех в сегменте пропадает инет Есть и прочие "операторские" решения борьбы с заразой. 3. Привязку на портах абонента через ацл или арп режим абы не кидал левых арпов, но тут загвостка в случай смены мака надо прописываться только через телефон супорта. 4. VLAN над дом сильно спасает от такой напасти, ибо ложится один дом только, круче только VLAN на юзера тогда только он сам и пострадает 5. Внутри дома абы не заморачиваться с VLAN на юзера можно ограничение на трафик между портами включить и юзать арп проксю хитрую на шлюзе и получится гибрид VLAN на юзера. Каждый может выбрать уровни защиты по карману и тех. знаниям технологий. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас