Флуд и подмена Mac адреса

[Maxxx 444]

Вот прога выдает такой лог

10:47:44 Подмена адреса! 172.16.23.46 00-15-58-0d-13-9d (172.16.23.46 00-13-8f-29-f2-b4)

10:47:44 Подмена адреса! 172.16.23.124 00-07-e9-0a-a4-73 (172.16.23.124 00-0d-87-91-09-53)

10:49:25 Подмена адреса! 172.16.23.46 00-15-58-0d-13-9d (172.16.23.46 00-13-8f-29-f2-b4)

10:49:33 Подмена адреса! 172.16.23.45 00-13-d4-6a-e1-ea (172.16.23.45 00-15-f2-c4-9e-88)

10:49:33 Подмена адреса! 172.16.23.130 00-0b-6a-77-7e-1d (172.16.23.130 00-0b-6a-d0-03-e7)

10:54:16 Подмена адреса! 172.16.23.45 00-13-d4-6a-e1-ea (172.16.23.45 00-15-f2-c4-9e-88)

10:54:16 Подмена адреса! 172.16.23.130 00-0b-6a-77-7e-1d (172.16.23.130 00-0b-6a-d0-03-e7)

 

При этом увеличивается пинг вплоть до полного выпадения. На роутере включена привязка MAC+IP. Как лечить?

[Enferno 163]

может быть найти источник сего? на 98% уверен, что у какогото юзверя завелись паразиты!

[sergotm 1]

либо вирусня, либо хацкер. если сеть тупая - с ноутом бегать и отключать магистрали, как найдешь дай по шапке

[Maxxx 444]

Вирусы у тех что в логе или у кого то другого и он подставляет себе их маки?

[sergotm 1]

Вирус говорит что его мак принадлежит всем апишнегам в сети. На роутере смотри чей мак балуется.

[nicelife 80]

Прежде всего нужно иметь базу маков всех юзеров в сети, так проще бороться с такими проблемами. Не понял подмена мака, а айпи-то закреплён за юзером каким-то определённым, так ищите этого юзера и дисконект до чистки машины от заразы. Если меняется мак и айпи, и сеть на тупом оборудовании то только бегать и отключать магистрали, или же поставить умную железяку в центре и посмотреть на какой магистрали весит этот мак, потом переставить железяку в центр этой магистрали и так далее ....

[Maxxx 444]

А ДШСП в таком случае не поможет?

[DarkSpider 36]

Как раз подобная фиготень =(

Работает сеть на DHCP

МОжно ли каким то программным способом полечить ?

Потому как только помогает отключение абонента, но через какое-то время заразу начинает новый и так далее...

Сервер под ASP 12 Linux.

[nicelife 80]

Как раз подобная фиготень =(

Работает сеть на DHCP

МОжно ли каким то программным способом полечить ?

Потому как только помогает отключение абонента, но через какое-то время заразу начинает новый и так далее...

Сервер под ASP 12 Linux.

Как программно можно вылечить???? не реально, только умное оборудование, привязывать мак к порту и всё.

Наказывать юзеров надо, писать информацию на страниче о эпидемии, разбивать сеть на подсети софтовыми роутерами и тд и тп.

А вообще приходится побегать по юзерам, во время эпидемии вирусов, заодно лишний зароботок для сети ))

Юзер который заплатит хотябы раз гривень 50 за установку антивируса, следующий раз будет уже умнее на 50гривень

[delfin 3]

Мак к порут может и не решить проблему

[blackjack 244]

Опис проблеми і різні варіанти атак на арп.

http://www.ciscolab.ru/security/157-arp_spoofing.html

[serverusko 12]

Запусти на сутки ARProtect и станет ясно (1Р клиента)

[DarkSpider 36]

Конечно, в этом способе есть свои минусы: требуется дополнительное ПО на всех компьютерах подсети.

как по-моему невыполнимая задача в некоторых сетях.

Запусти на сутки ARProtect и станет ясно (1Р клиента)

У нас установлен arpwatch - IP я получу за 2-3 минуты после атаки. Но вот ведь в чем вопрос пока я его забаню на свитче, пока перегружу биллинг/фаервол - пройдет минут 10-20 - для кого-то это недопустимые сроки.

К тому же на "умных" свитчах бан идет по маку , а не по IP, так что IP - это уже только для проформы.

Все описанные пока способы ведут только к ручной работе админа, а все это время сеть "мертва" =( что не есть гуд.

[Колян 2]

да найдите маки людей и по голове настучите. Так и боремся уже два года..

[rtrt 48]

Такая же проблема была. Снифери сеть, выявляй источники и отключай до лечения компа на вирусы )) Мы делаем так + на коммутаторах кое-какие доп настройки

[Maxxx 444]

В сети есть куча Compex PS2216. В них есть такая байда - Broadcast Storm Filtering. Включение такого фильтра поможет, кто знает?

 

В TRENDnet TE100-S88E это работает так:

 

Broadcast Storm Filtering Control (защита от Broadcast шторма).

Если счетчик количества широковещательных пакетов (с MAC адресом получателя FF FF FF FF FF FF) превысит порог 64 пакета подряд, последующие пакеты будут отброшены. Счетчик обнуляется каждые 800ms или при получении пакета любого другог типа.

[blackjack 244]

Пока повключали шторм контрол на всех компексах, на центральной циске выставили для всех портов порог процента броадкастов от общего числа пакетов 10%, в транковый порт порог 1%. На фре занесли в файлик соотвествие ip+mac. Но это не спасает дбросовестных клиентов, им кеш всеравно отравляют.