Full 0 Posted 2008-05-26 08:02:54 Share Posted 2008-05-26 08:02:54 Проблема в том что уже 5 день у меня в сети случаются казусы... Всё началось с того что стал меняться пинг от основного шлюза, <1мс до 500мс, что самое интересное загрузка проца на серваке нах. в пределах 20% , канал был пригружен на 30Мбит... Вот только после этого я стал проверять коммутаторы на на кол переданной инфы.. И что самое странное я увидел что на один порт приходит и уходит траффик превышающий или равный ВСЕМУ траффик коммутатора...... Пробив по портам я нашел клиента куда он весь шел и отключил клиента, при этом пинг на сервер ПРОПАЛ и только через секунд 5 опять появился ... равный <1мс . Я думал что всё , что нашел злоумышленника.... но торжество было не долго... Опять таже самая фигня но уже с другим клиентом... потом с другим... Вот теперь сижу в недоумении... Ситуация какая ... зараженная тачка клиента рассылает всем машинам пакеты с айпишиником шлюза но с со соим маком, весь трафик, от всех машин перенаправляется на эту машину, а дальше эта машина перенаправляет на основной шлюз (на основном шлюзы все айпи видны с одним маком зараженной машины).... При этом все клиенты сети стали жаловаться что антивирус кричит что все сайты заражены вирусом Win32-Tojan ... Мне понятен принцип... но я не могу придумать как с этой проблемой разобраться... Подскажите ... Link to post Share on other sites
Foster 0 Posted 2008-05-26 08:13:20 Share Posted 2008-05-26 08:13:20 возможно http://www.netoptima.in/arprotect/ Link to post Share on other sites
tyoma 79 Posted 2008-05-26 08:13:34 Share Posted 2008-05-26 08:13:34 вирус видел уже такое люди до сих пор бегают в поисках энного вируса Link to post Share on other sites
Флэшмобер 5 Posted 2008-05-26 08:22:58 Share Posted 2008-05-26 08:22:58 Было в сети. Парило с месяц пока не вывели заразу... надёжно лечицца только format'ом всех винтов зараженной машины. Предварительно для устранения и профилакти - временное отключение юзера чей MAC напрягает. Link to post Share on other sites
Marius 316 Posted 2008-05-26 09:29:37 Share Posted 2008-05-26 09:29:37 Все сказали верно - вирус. Лечение одно - формат С. Link to post Share on other sites
Den_LocalNet 1,474 Posted 2008-05-26 10:23:09 Share Posted 2008-05-26 10:23:09 да ладно уж формат..... avast нормально его удаляет.... Link to post Share on other sites
Den_LocalNet 1,474 Posted 2008-05-26 10:34:18 Share Posted 2008-05-26 10:34:18 как показала практика - если пофильтровать виндовс-нетворк на свитчах то эта зараза не размножается. Т.е. Есть шанс что человек схватит её в инете, но по сети оно не расползется. на дес-3526 нормально все порезали и живем почти спокойно. Видел на наг.ру или хаб.ру народ анализировал трафик зараженной машины и пришел к выводу что эта зараза управляется с инета. Т.е. она получает команды на спуфинг и размножение от злоумышленника. Так там люди писали адреса на которые оно стучится в инет за командами и обновлениями для себя. Если перекрыть трафик на эти адреса то типа эта гадость живет просто на компе. Щас ссылку не могу найти. Ещё замечено что никогда не спуфит одновременно более одного компа. Т.е. эта гадость постоянно слушает сетевушку на предмет такого же спуфинга. Только отключаешь одного абика в сегменте - сразу начинает второй. Link to post Share on other sites
Full 0 Posted 2008-05-26 12:08:18 Author Share Posted 2008-05-26 12:08:18 Да именно так как ты описал... если бы нашел сылку на айпи, было бы очень хорошо Link to post Share on other sites
Den_LocalNet 1,474 Posted 2008-05-26 19:56:41 Share Posted 2008-05-26 19:56:41 поснифайте зараженный комп он тоже постоянно обновляет свои базы и наверняка обновляет забаненые адреса Link to post Share on other sites
Full 0 Posted 2008-05-26 20:44:41 Author Share Posted 2008-05-26 20:44:41 так и сделаем Link to post Share on other sites
XoRe 0 Posted 2008-05-27 01:04:28 Share Posted 2008-05-27 01:04:28 Собрал программу, которая защищает от атак по сети. http://forum.elizovo.ru/index.php?showtopic=10881 Если нужны виндовые шары, то ставится версия 1.6. Если не нужны, то можно ставить 1.5 (там 445 порт закрывается). Программа представляет собой wipfw с уже написанными правилам. Пользователю не нужно вообще ничего настраивать. Только установить 1 раз. И она работает тихо и незаметно. За год работы на мой комп (на котором только эта программа и стоит от сетевых атак) ни одной атаки. Могу посоветовать ставить что-нибудь подобное пользователям) Link to post Share on other sites
chupyc 9 Posted 2008-12-17 10:23:25 Share Posted 2008-12-17 10:23:25 Собрал программу, которая защищает от атак по сети.http://forum.elizovo.ru/index.php?showtopic=10881 по ссылке ничего не нашел, вернее скачивание недоступно... можешь как-то скинуть на обменник, или мне на почту??? chupyc@rambler.ru Link to post Share on other sites
gall 6 Posted 2008-12-17 10:41:24 Share Posted 2008-12-17 10:41:24 А еще бы исходники такой проги, чтоб вкомпилить в авторизатор СТГ. Мы так уже пытаемся реализовать антиспуф http://www.killprog.com/etcr.html AntiSpoof v1.1 (Win 98 and higher) Это программа призвана бороться с ARP спуфингом в локальной сети. Она умеет через заданный интервал времени обновлять сведения в ARP таблице локальной системы для заданных IP адресов на заданные MAC адреса. По умолчанию обновление проводится каждые 100мсек. Link to post Share on other sites
chupyc 9 Posted 2008-12-17 14:09:50 Share Posted 2008-12-17 14:09:50 А еще бы исходники такой проги, чтоб вкомпилить в авторизатор СТГ.Мы так уже пытаемся реализовать антиспуф http://www.killprog.com/etcr.html AntiSpoof v1.1 (Win 98 and higher) Это программа призвана бороться с ARP спуфингом в локальной сети. Она умеет через заданный интервал времени обновлять сведения в ARP таблице локальной системы для заданных IP адресов на заданные MAC адреса. По умолчанию обновление проводится каждые 100мсек. возможно http://www.opennet.ru/prog/info/2582.shtml поможет Link to post Share on other sites
Maxxx 446 Posted 2008-12-17 15:59:03 Share Posted 2008-12-17 15:59:03 Тоже боремся с этой проблемой. Какие антивирусы это нормально ловят и какое офф название вируса, кто знает? Link to post Share on other sites
JMan 1 Posted 2008-12-17 22:03:27 Share Posted 2008-12-17 22:03:27 1. Фильтрация на шлюзе арп пакетов с проверкой на правильность связки мака айпи (и логирования анормальных случаев), а бы шлюз не отправлял трафик с инета через комп с вирусом. А если в авторизатор (если есть) вбить функции прописывания мака шлюза как статического, то не прорвется такая гадость . 2. Фильтрация трафика в инет по связки мак айпи на шлюзе сразу выявляет вирус у всех в сегменте пропадает инет Есть и прочие "операторские" решения борьбы с заразой. 3. Привязку на портах абонента через ацл или арп режим абы не кидал левых арпов, но тут загвостка в случай смены мака надо прописываться только через телефон супорта. 4. VLAN над дом сильно спасает от такой напасти, ибо ложится один дом только, круче только VLAN на юзера тогда только он сам и пострадает 5. Внутри дома абы не заморачиваться с VLAN на юзера можно ограничение на трафик между портами включить и юзать арп проксю хитрую на шлюзе и получится гибрид VLAN на юзера. Каждый может выбрать уровни защиты по карману и тех. знаниям технологий. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now