Спуфинг или вирус?

[_Alexandr_]

Возникла БОЛЬШАЯ проблема, может уже сталкивались с этим....

 

У нас сетка большая около 500 юзеров в одноранговой сети. И она последнее время стала тормозить. Решил проверить сетевые логи, наткнулся вот на что:

Содержимое arp таблиц постоянно меняется. По логам видно, что некоторые IP меняют свой MAC по 3-7 раз за секунду. В таблице arp есть записи с IP которых в самом деле не существует.

Запустил tcpdump, посмотрел, ужаснулся... 70% трафике - arp запросы who-has в поле "ищу" различные IP, а вот в поле "кто ищет" один адрес. Так лог идет 2-5 секунд, после в поле "кто ищет" меняется на другой IP адрес.

Так это все до бесконечности повторяется...

Также проскакивают строчки в логах "неизвестный протокол" с левыми MAC адресами отправителя и назначения, в теле пакета обычно нули и изредка появляются еденицы. Пакеты по 60 байт.

 

Может у кого-то что-то было похожее, скажите, как бороться.

[Guest]

Не так давно столкнулся с аналогичной проблемой. Падает скорость, теряются пакеты при пинге. Решить ее пока не удалось, предполагаю что это все таки АРП-спуфинг. Просматривая логи коммутаторов несколько раз встречал нечто подобное:00:48:26 ip: Invalid ARP Source: 0.0.0.0 on 192.168.0.242. Если кто нибудь сталкивался помогите советом как вычислить источник.

jakson@bk.ru

[flashwolf]

спуфинг.

 

если сеть не на управляемых коммутаторах - бороться можно посылом бригады на линию во время спуфинга, с физическим отключением частей сети и контролем пропадания спуфинга.

в принципе - вполне реально. получалось поймать врага, и не раз.

[_Alexandr_]

Надо пойти, выловить и посодить на кол!

[АнтонАМ]

Зжечь!

[Daemon2561]

Взорвать :)

[nuclearcat]

220 на сетевуху злодея... а лучше еще больше :)

[Akmetra]

:)

Буду давать ссылку на эту тему всем любопытным кулхцакерам... :D пусть боятся.

[-=mozg=-]

Надо пойти, выловить и посодить на кол!

220 на сетевуху злодея... а лучше еще больше :)

Взорвать :)

Зжечь!

Нет! Отдайте его мне!!!!!!!!

[djet]

За последнюю неделю у нас резко обострились случаи спуфинга в сети, кто-нибудь знает, что это за червь? Есть ли способы борьбы с ним в сети, построенных на управляемых DLink'aх 3526?

[SmokerMan]

Аналогично.... Хотя бы причину кто-то нашел?.. Чем лечить?...

Edited October 11, 2007 by SmokerMan

[mikevlz]

на Dlink от 30ХХ и выше(3526 сюда попадает), включить IP-MAC-Port Binding. Свич не выпустит в сеть пакеты с неверной связкой. Если свич абонентский - то проблема будет убита в корне. Если он где-то на разветвлениях стоять будет - то будет плющить только сегмент с конь-дидатом на отключку.

[djet]

Привязки не используются, в крупной сети это самоубийство.

[mikevlz]

ну или кушать кактус, или избавляться от проблемы сразу и надолго.

Автоматизировать привязку вполне реально. Не хотите IP-MAC-Port, привязывайте хотя бы MAC на порту, только делать полдела, если можно точно так же все дело сделать - не вижу смысла.

[djet]

При спуфинге мак на порту не меняется.

[djet]

Вот как с этим борятся киевские сетеводы: Внимание! Вирусная активность в сети!.

 

А вот что о нём известно в гугле: arp8023.sys. Судя по происхождению вируса, у наших коллег есть серьёзные подозрения, что он попал к нам прямиком из новой прошивки длинков. :D

Edited October 12, 2007 by djet

[GateKeeper]

:) Длинк под запрет. В договоре отдельную строчку под это дело. Длинковский сегмент MAC повесить на auto-port-down.

[Mechanic]

аналогичная ситуация,в различных сегментах с произвольным интервалом времени возникает хаотическая смена ип. Звонок человеку мас которого беольше всего светится и понимаешь, что он не мог такое делать- полный 0. Подозрение все таки на вирус

[dnvk]

он не мог такое делать- полный 0

 

они все становятся такими, когда их к стенке прижимают!

[pirat_os]

Мы тоже испытывали такую проблему, отключение на сутки с предупреждением, стимулировало абонентов к лечению системы.

[Bond]

Почему привязки самоубийство ?

Мы лично привязываем клиентов к порту свитча, а магистрали аплинком, целые дома не привязываем на порт ибо это есть кака, а как раз привязка помогла бы от части.

[Minya]

почти аналогичная проблема. только это не спуфинг, а просто меняются случайно MAC-и у клиентов из одной подсети. а т.к. они с привязкой идут, то после каждой такой смены - сеть у них перестает работать. думаем какой-то вирус ломящийся по виндовым портам, т.к. в других подсетях такого не замечено (циска режет эти порты).

антивирусы не находят :(. может кто подскажет, сталкивался и тп

[kirill bezrukavnikov]

вирь это... eth****.sys в /system32/drivers валяется и так флудит.. Докторвеб его видит и корректно лечит.

[Minya]

уже лечим юзеров CureIt-ом от др веба.

[networks]

Мы тоже пару месяцев не могли понять, почему в некоторых сегментах у пользователей сеть пропадает постоянно на несколько минут, или медленно работает. Уже все свитчи и кабеля облазили и проверили, весь кабель переобжали. Потом глянули arp, и поняли, что это вирус, который arp-spoofing'ом подменяет собой адрес шлюза в подсети, и адреса клиентских машин, и гоняет трафик через зараженный компьютер, подставляя в заголовки http-трафика клиентов ссылку на скачивание трояна. Короче, злодейская штука.

 

Помогает блокировка MAC-ов на свитчах. Как только MAC зараженного блокируется (даже если часть сегмента на неуправляемых коммутаторах), вирусная активность сразу же прекращается. Потом заблокированный обычно сам звонит и интересуется, почему у него сеть перестала работать.

Edited September 25, 2008 by networks