Jump to content
Калькуляторы

Как такое может быть?

Доброго времени суток

 

Подключение к Интернету PPPoE. DHCP сервер провайдера выдает белый адрес с маской 255.255.255.255.

В логе фаервола на внешнем интерфейсе замечен UDP/IGMP/TCP флуд от серых адресов. Как такое может быть?

 

post-129706-070184600 1441438272_thumb.png

 

post-129706-001884500 1441439101_thumb.png

Edited by Tidy

Share this post


Link to post
Share on other sites

У абонента с ip 10.0.90.171 вирусня, ломится на соседние компы используя протокол Netbios. Напишите провайдеру.

Share this post


Link to post
Share on other sites

Tidy, доброго времени суток.

 

Да вполне себе объяснимая и банальная ситуация.

 

У Вашего оператора помимо коммутируемых (PPPoE) соединений с прямыми IP адресами,

существует локальная сеть 10.0.0.0/X, которая успешно маршрутизируется в пределах

оператора и на прямые IP адреса так же.

 

Из этой сети, компьютер с «серым» IP «лезет» своим паразитным трафиком на все

доступные ему адреса. Вот Вы и видите его «серый» IP на своём маршрутизаторе.

 

Если совсем по простому, сети из «прямых» и «серых» IP в пределах одного маршрутизатора

или группы маршрутизаторов могут прекрасно видеть друг-друга.

 

У абонента с ip 10.0.90.171 вирусня, ломится на соседние компы используя протокол Netbios. Напишите провайдеру.

 

 

 

+1

Edited by SUrov_IBM

Share this post


Link to post
Share on other sites
Подключение к Интернету PPPoE. DHCP сервер провайдера выдает белый адрес с маской 255.255.255.255. В логе фаервола на внешнем интерфейсе замечен UDP/IGMP/TCP флуд от серых адресов. Как такое может быть?

И что!?

Легко такое может быть.

Некто врубил свой комп напрямую в локалку прова, без презерватива (роутера), от него виндовые сервисы рассылают броадкасты.

Броадкасты могут иметь любой IP от/куда (всем плевать, если нет арп инспекции), главное что МАК куда там ff:ff:ff:ff:ff:ff (либо там выставлен бит что это мультикаст), поэтому коммутатор их рассылает по всем портам.

На твоей сетевухе пакеты к ff:ff:ff:ff:ff:ff - обязаны приниматься - они для ВСЕХ! (и тебя тоже), не зависимо от того как настроен аппаратный фильтр сетевухи, в противном случае у тебя arp/pppoe и другие вещи сломаются.

Почему до ядра твоей ОС долетел мультикаст - так сходу не скажу, либо у сетевухи так настроены аппаратные фильтры либо твоя ОС сама подписалась на эту мультикаст группу.

 

 

У абонента с ip 10.0.90.171 вирусня, ломится на соседние компы используя протокол Netbios. Напишите провайдеру.

Скорее всего не угадал, писать не надо.

Больше похоже на штатную работу самбы - себя анонсит, соседей ищет - там же сплошные броадкасты.

Share this post


Link to post
Share on other sites

Ivan_83, сколько не ходил ваершарком по сети, такой активности не встречал) поэтому первая мысль о вирусне.

Share this post


Link to post
Share on other sites

Имхо, просто "провайдер" незаблочил NetBios в своей сетке. Интересен также размер л2 домена.

Share this post


Link to post
Share on other sites

Интересен также размер л2 домена

PPPoE

думаю достаточный

Share this post


Link to post
Share on other sites

У нормальных операторов, использующих PPPoE, включена изоляция абонентских портов друг от друга. А когда на доступ ставят всякое наидешевийшее г-но, тогда абоненты какают друг-дружке, а иногда сеть провайдера используют в личных целях. Например можно платить вскладчину за одно пппое подключение и сеть провайдера использовать как транспорт между несколькими ползователями :)

Share this post


Link to post
Share on other sites

У нормальных операторов, использующих PPPoE

(минутка троллинга)

Взаимоисключающие параграфы вроде же, не? :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this