Перейти до

Флуд и подмена Mac адреса


Рекомендованные сообщения

Вот прога выдает такой лог

10:47:44 Подмена адреса! 172.16.23.46 00-15-58-0d-13-9d (172.16.23.46 00-13-8f-29-f2-b4)

10:47:44 Подмена адреса! 172.16.23.124 00-07-e9-0a-a4-73 (172.16.23.124 00-0d-87-91-09-53)

10:49:25 Подмена адреса! 172.16.23.46 00-15-58-0d-13-9d (172.16.23.46 00-13-8f-29-f2-b4)

10:49:33 Подмена адреса! 172.16.23.45 00-13-d4-6a-e1-ea (172.16.23.45 00-15-f2-c4-9e-88)

10:49:33 Подмена адреса! 172.16.23.130 00-0b-6a-77-7e-1d (172.16.23.130 00-0b-6a-d0-03-e7)

10:54:16 Подмена адреса! 172.16.23.45 00-13-d4-6a-e1-ea (172.16.23.45 00-15-f2-c4-9e-88)

10:54:16 Подмена адреса! 172.16.23.130 00-0b-6a-77-7e-1d (172.16.23.130 00-0b-6a-d0-03-e7)

 

При этом увеличивается пинг вплоть до полного выпадения. На роутере включена привязка MAC+IP. Как лечить?

Ссылка на сообщение
Поделиться на других сайтах

Прежде всего нужно иметь базу маков всех юзеров в сети, так проще бороться с такими проблемами. Не понял подмена мака, а айпи-то закреплён за юзером каким-то определённым, так ищите этого юзера и дисконект до чистки машины от заразы. Если меняется мак и айпи, и сеть на тупом оборудовании то только бегать и отключать магистрали, или же поставить умную железяку в центре и посмотреть на какой магистрали весит этот мак, потом переставить железяку в центр этой магистрали и так далее ....

Ссылка на сообщение
Поделиться на других сайтах

Как раз подобная фиготень =(

Работает сеть на DHCP

МОжно ли каким то программным способом полечить ?

Потому как только помогает отключение абонента, но через какое-то время заразу начинает новый и так далее...

Сервер под ASP 12 Linux.

Ссылка на сообщение
Поделиться на других сайтах
Как раз подобная фиготень =(

Работает сеть на DHCP

МОжно ли каким то программным способом полечить ?

Потому как только помогает отключение абонента, но через какое-то время заразу начинает новый и так далее...

Сервер под ASP 12 Linux.

Как программно можно вылечить???? не реально, только умное оборудование, привязывать мак к порту и всё.

Наказывать юзеров надо, писать информацию на страниче о эпидемии, разбивать сеть на подсети софтовыми роутерами и тд и тп.

А вообще приходится побегать по юзерам, во время эпидемии вирусов, заодно лишний зароботок для сети ))

Юзер который заплатит хотябы раз гривень 50 за установку антивируса, следующий раз будет уже умнее на 50гривень

Ссылка на сообщение
Поделиться на других сайтах
Конечно, в этом способе есть свои минусы: требуется дополнительное ПО на всех компьютерах подсети.

как по-моему невыполнимая задача в некоторых сетях.

Запусти на сутки ARProtect и станет ясно (1Р клиента)

У нас установлен arpwatch - IP я получу за 2-3 минуты после атаки. Но вот ведь в чем вопрос пока я его забаню на свитче, пока перегружу биллинг/фаервол - пройдет минут 10-20 - для кого-то это недопустимые сроки.

К тому же на "умных" свитчах бан идет по маку , а не по IP, так что IP - это уже только для проформы.

Все описанные пока способы ведут только к ручной работе админа, а все это время сеть "мертва" =( что не есть гуд.

Ссылка на сообщение
Поделиться на других сайтах

Такая же проблема была. Снифери сеть, выявляй источники и отключай до лечения компа на вирусы )) Мы делаем так + на коммутаторах кое-какие доп настройки

Ссылка на сообщение
Поделиться на других сайтах

В сети есть куча Compex PS2216. В них есть такая байда - Broadcast Storm Filtering. Включение такого фильтра поможет, кто знает?

 

В TRENDnet TE100-S88E это работает так:

 

Broadcast Storm Filtering Control (защита от Broadcast шторма).

Если счетчик количества широковещательных пакетов (с MAC адресом получателя FF FF FF FF FF FF) превысит порог 64 пакета подряд, последующие пакеты будут отброшены. Счетчик обнуляется каждые 800ms или при получении пакета любого другог типа.

Ссылка на сообщение
Поделиться на других сайтах

Пока повключали шторм контрол на всех компексах, на центральной циске выставили для всех портов порог процента броадкастов от общего числа пакетов 10%, в транковый порт порог 1%. На фре занесли в файлик соотвествие ip+mac. Но это не спасает дбросовестных клиентов, им кеш всеравно отравляют.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...