Maxxx 444 Posted 2008-12-11 09:00:25 Share Posted 2008-12-11 09:00:25 Вот прога выдает такой лог 10:47:44 Подмена адреса! 172.16.23.46 00-15-58-0d-13-9d (172.16.23.46 00-13-8f-29-f2-b4) 10:47:44 Подмена адреса! 172.16.23.124 00-07-e9-0a-a4-73 (172.16.23.124 00-0d-87-91-09-53) 10:49:25 Подмена адреса! 172.16.23.46 00-15-58-0d-13-9d (172.16.23.46 00-13-8f-29-f2-b4) 10:49:33 Подмена адреса! 172.16.23.45 00-13-d4-6a-e1-ea (172.16.23.45 00-15-f2-c4-9e-88) 10:49:33 Подмена адреса! 172.16.23.130 00-0b-6a-77-7e-1d (172.16.23.130 00-0b-6a-d0-03-e7) 10:54:16 Подмена адреса! 172.16.23.45 00-13-d4-6a-e1-ea (172.16.23.45 00-15-f2-c4-9e-88) 10:54:16 Подмена адреса! 172.16.23.130 00-0b-6a-77-7e-1d (172.16.23.130 00-0b-6a-d0-03-e7) При этом увеличивается пинг вплоть до полного выпадения. На роутере включена привязка MAC+IP. Как лечить? Link to post Share on other sites
Enferno 163 Posted 2008-12-11 13:49:56 Share Posted 2008-12-11 13:49:56 может быть найти источник сего? на 98% уверен, что у какогото юзверя завелись паразиты! Link to post Share on other sites
sergotm 1 Posted 2008-12-11 14:24:04 Share Posted 2008-12-11 14:24:04 либо вирусня, либо хацкер. если сеть тупая - с ноутом бегать и отключать магистрали, как найдешь дай по шапке Link to post Share on other sites
Maxxx 444 Posted 2008-12-11 15:00:13 Author Share Posted 2008-12-11 15:00:13 Вирусы у тех что в логе или у кого то другого и он подставляет себе их маки? Link to post Share on other sites
sergotm 1 Posted 2008-12-11 15:19:48 Share Posted 2008-12-11 15:19:48 Вирус говорит что его мак принадлежит всем апишнегам в сети. На роутере смотри чей мак балуется. Link to post Share on other sites
nicelife 80 Posted 2008-12-11 18:13:34 Share Posted 2008-12-11 18:13:34 Прежде всего нужно иметь базу маков всех юзеров в сети, так проще бороться с такими проблемами. Не понял подмена мака, а айпи-то закреплён за юзером каким-то определённым, так ищите этого юзера и дисконект до чистки машины от заразы. Если меняется мак и айпи, и сеть на тупом оборудовании то только бегать и отключать магистрали, или же поставить умную железяку в центре и посмотреть на какой магистрали весит этот мак, потом переставить железяку в центр этой магистрали и так далее .... Link to post Share on other sites
Maxxx 444 Posted 2008-12-11 19:02:25 Author Share Posted 2008-12-11 19:02:25 А ДШСП в таком случае не поможет? Link to post Share on other sites
DarkSpider 36 Posted 2008-12-11 19:47:30 Share Posted 2008-12-11 19:47:30 Как раз подобная фиготень =( Работает сеть на DHCP МОжно ли каким то программным способом полечить ? Потому как только помогает отключение абонента, но через какое-то время заразу начинает новый и так далее... Сервер под ASP 12 Linux. Link to post Share on other sites
nicelife 80 Posted 2008-12-11 20:16:52 Share Posted 2008-12-11 20:16:52 Как раз подобная фиготень =( Работает сеть на DHCP МОжно ли каким то программным способом полечить ? Потому как только помогает отключение абонента, но через какое-то время заразу начинает новый и так далее... Сервер под ASP 12 Linux. Как программно можно вылечить???? не реально, только умное оборудование, привязывать мак к порту и всё. Наказывать юзеров надо, писать информацию на страниче о эпидемии, разбивать сеть на подсети софтовыми роутерами и тд и тп. А вообще приходится побегать по юзерам, во время эпидемии вирусов, заодно лишний зароботок для сети )) Юзер который заплатит хотябы раз гривень 50 за установку антивируса, следующий раз будет уже умнее на 50гривень Link to post Share on other sites
delfin 3 Posted 2008-12-12 00:29:33 Share Posted 2008-12-12 00:29:33 Мак к порут может и не решить проблему Link to post Share on other sites
blackjack 250 Posted 2008-12-12 10:02:14 Share Posted 2008-12-12 10:02:14 Опис проблеми і різні варіанти атак на арп. http://www.ciscolab.ru/security/157-arp_spoofing.html Link to post Share on other sites
serverusko 12 Posted 2008-12-12 10:15:19 Share Posted 2008-12-12 10:15:19 Запусти на сутки ARProtect и станет ясно (1Р клиента) Link to post Share on other sites
DarkSpider 36 Posted 2008-12-12 10:28:01 Share Posted 2008-12-12 10:28:01 Конечно, в этом способе есть свои минусы: требуется дополнительное ПО на всех компьютерах подсети. как по-моему невыполнимая задача в некоторых сетях. Запусти на сутки ARProtect и станет ясно (1Р клиента) У нас установлен arpwatch - IP я получу за 2-3 минуты после атаки. Но вот ведь в чем вопрос пока я его забаню на свитче, пока перегружу биллинг/фаервол - пройдет минут 10-20 - для кого-то это недопустимые сроки. К тому же на "умных" свитчах бан идет по маку , а не по IP, так что IP - это уже только для проформы. Все описанные пока способы ведут только к ручной работе админа, а все это время сеть "мертва" =( что не есть гуд. Link to post Share on other sites
Колян 2 Posted 2008-12-12 10:30:38 Share Posted 2008-12-12 10:30:38 да найдите маки людей и по голове настучите. Так и боремся уже два года.. Link to post Share on other sites
rtrt 52 Posted 2008-12-14 13:51:30 Share Posted 2008-12-14 13:51:30 Такая же проблема была. Снифери сеть, выявляй источники и отключай до лечения компа на вирусы )) Мы делаем так + на коммутаторах кое-какие доп настройки Link to post Share on other sites
Maxxx 444 Posted 2008-12-15 20:46:29 Author Share Posted 2008-12-15 20:46:29 В сети есть куча Compex PS2216. В них есть такая байда - Broadcast Storm Filtering. Включение такого фильтра поможет, кто знает? В TRENDnet TE100-S88E это работает так: Broadcast Storm Filtering Control (защита от Broadcast шторма). Если счетчик количества широковещательных пакетов (с MAC адресом получателя FF FF FF FF FF FF) превысит порог 64 пакета подряд, последующие пакеты будут отброшены. Счетчик обнуляется каждые 800ms или при получении пакета любого другог типа. Link to post Share on other sites
blackjack 250 Posted 2008-12-17 06:42:12 Share Posted 2008-12-17 06:42:12 Пока повключали шторм контрол на всех компексах, на центральной циске выставили для всех портов порог процента броадкастов от общего числа пакетов 10%, в транковый порт порог 1%. На фре занесли в файлик соотвествие ip+mac. Но это не спасает дбросовестных клиентов, им кеш всеравно отравляют. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now