Help!!! Arp флуд или другая неизвесная срань валит сеть.

[wifi_master 132]

В общем ситуация такая с компов клиентов идут ARP запросы каждый новый запрос увеличивается на 1 адрес, к примеру первый запрос начинается с адреса клиента 192.168.0.2 второй на 192.168.0.3 и так дальше до бесконечности. При этом тупо виснун все точки доступа, микротик начинает жостко тупить, иногда так что даже на него зайти нельзя. Помагает только выключения питания на точках, микротик сам отходит через какое то время. Так вот проблема в чом у клиентов нету вирусов на компах с которых идут запросы!!! Сам все проверял тоже не верил что нету вирусов, но их нет dr.web каспер, avira, nod ничего не находят! Как быть как вывести эту заразу с сети? Может кто-то с таким уже сталкивался.

 

 

П.С.

Извеняюсь за ошибки, голова уже болит вторые сутки не сплю с этой сранью сражаюсь.....

[Neelix 33]

АСL + Static ARP

[wifi_master 132]

это уже сделано. вопрос в том что это такоэ и как у клиента лечить?

[Citadel 5]

Да ничего особого. Похоже на сканирование сети, возможно вирусня ищет живые компы в сети.

[icecybe 35]

сегментируй сеть отключи поочереди.

[icecybe 35]

чесно скажу почему ненавижу 2100. Такой же глюк был когда дава конфликт ип адресов на все адреса. И ето было 2100 г...о отклучили и сеть востановилась. С того времени есть кошка и вланы на портах.

[Neelix 33]

Шторм-контроль на свичах должен помочь.

 

А ваще банальщина, антивирусы итд, смотри статистику портов юзеров, у кого бродкасты больше всего на порту

[Флэшмобер 5]

Проверь два вариатна, сам сталкивался:

1. Всётаки это вирь, очень похоже на действия Conficker'a или KidoKiller'a - если не находят антивири (обновления свежие ?) тогда сносить винду и ставить всё начисто.

2. В сети появилась железяка со своим DHCP-сервером и судя по скрину адрес у неё 192.168.0.105

[Prime 51]

2. В сети появилась железяка со своим DHCP-сервером и судя по скрину адрес у неё 192.168.0.105

не обязательно

[Enferno 163]

да вирусня это и летит от одного человека, которого я думаю вычеслить очень просто!

[Флэшмобер 5]

не обязательно

ну да, не обязательно, но проверить нужно в первую очередь именно там.

[wifi_master 132]

Я вычеслил всех у кого такая срань, отключаю сеть работает супер, но весь прикол в том что нету вируса. Клиенту говориш отключен по причине вирусной активности а он тебе матом через час что какого меня выключили у меня все гуд, сам проверял комп у клиента тоже ничего. Адрес 192.168.0.105 это адрес компа клиента.

[Enferno 163]

хих.. поставь каспера лицензию и увидишь! Могу помочь с ключиком если надо, пиши в личку! Он точно найдет если есть что-то...

[MMO 95]

Вирус. Проверь Symantec-ом.

[blackjack 244]

Вирусы.

Статик арп, сегментация, шторм контрол, административные меры (физичексое отключение до чистки), постоянная пропаганда установки и обновления антивирусных баз и системы, легальное по в клиента, порт секюрити, арп макс аджинг тайм 3600сек. Вот все это помогает в совокупности.

[QI_Can9 3]

Был в сети прикол, кто то флудил, вычислили мак адрес смотри на свитче, а этот макадрес висит на 8-ми портах. Может он просто маскируется, подменяет свой айпи на чужой.

[RAW 0]

Проверяли антивирусом в системе которой работает пользователь или загружались с LiveCD?

[Субчик 183]

В общем ситуация такая с компов клиентов идут ARP запросы каждый новый запрос увеличивается на 1 адрес

Так как я понятия не имею что такое ARP запросы то я бы начал с замены сетевой карты у абонента

[Setevoy 127]

Симантек, а особенно кашперский - победа маркетинга над здравым смыслом.

Пользуйте нод или дрвеб. У них реализованы довольно приличные анализаторы кода. От явной новинки и они не спасут, а вот от перешифрованного старья - легко.

[MMO 95]

Симантек, а особенно кашперский - победа маркетинга над здравым смыслом.

Пользуйте нод или дрвеб. У них реализованы довольно приличные анализаторы кода. От явной новинки и они не спасут, а вот от перешифрованного старья - легко.

 

Посмеялся ))

[MMO 95]

Симантек, а особенно кашперский - победа маркетинга над здравым смыслом.

Пользуйте нод или дрвеб. У них реализованы довольно приличные анализаторы кода. От явной новинки и они не спасут, а вот от перешифрованного старья - легко.

 

тут можно спорить до бесконечности. Это как спор глухого и немого

[Setevoy 127]

Посмеялся ))

Хорошо смеётся тот, кто смеётся обоснованно

 

ЗЫ Или мобилком занялся продажами симантека?

[Setevoy 127]

тут можно спорить до бесконечности. Это как спор глухого и немого

Я мог бы и обосновать и продемонстрировать. Но это разве-что лично за пивком.

А так - вопрос можно заминать, таки да.

[artyom_bv 0]

я конечно хз, но у меня по сети проблем таких небыло, после того как всю сеть перевел на

исключительно статическую маршрутизацию + никакого форвардинга между клиентами...

все бс - микротик

и 2100 - живут и здравствуют в любое время года

 

до этого имели место режимы WDS, но после того как я перестал их сипользовать - проблем никагда небыло, разве что с радио помехами

[icecybe 35]

итак что же там было по результатам.

Еше один вариант. Нашли конечно за 30 мин.

Клиента дома небыло комп отключён. Впустила бабушка. Так как парнишка хороший друг. Отключяем его комп от сети всё ок. Включаю. пинги 1 мс....2. 100.1000 пробелы. Вытаскиваю всё ок.

Еше раз говорю комп был полностью отключён. В розетке но shutdown.

Проблема решилась сменой карточки.