ilia_2s Опубликовано 22 августа, 2008 · Жалоба Так сказать: "проходя мимо" :) Поскольку у нас роутингом локалки занимается Huawei а не софт-роутер, то соответственно трабла со сменой ip не решалась установкой ipguard :( Вопсчем написал софтину - которая по snmp v3 опрашивает Huawei и собирает с него arp таблицу, сравнивает текущую с сохраненной ранее таблицей в MySQL и делает следующее: 1. Если из пары ip-mac ни ip ни mac еще не встречались в других парах - то естественно длбавляет эту пару как новую запись в мускул. 2. Если mac из пары ip-mac уже был замечен в связке с другим ip - то скидывает эту запись в отдельную таблицу мускула (завется diff), и добавляется событие о захвате mac-ом чужого ip. 3. Если ip из пары уже был замечен в другой связке - тупо не реагирует (сначала реагировала, однако как показала практика это событие и нафиг не надо :) ) 4. Если mac из пары находился в таблице "diff" и теперь появился в связке со своим "основным" ip - то он убирается из diff и добавляется событие о возврате macа на родной ip. 5. Если имеется более 5 записей mac-ip с одинаковым mac-ом - считаем это трояном с arp-spoofing и заносим его в таблицу вирусников паралельно запуская pl скрипт с передачей ему mac-a вирусника, скрипт в свою очередь идет по telnet на huawei и добавляет запись в acl вирусников, который навешивает на все интерфейсы. Кроме того по возникновению данного события отсылается e-mail админу с mac-ом вирусника. Также есть таблица в которой хранятся пары ip-mac, смены между которыми надо просто игнорировать (вариант когда 2ip на одном интерфейсе висят алиасом). Ко всему этому добру есть веб-морда в которой ясно видны все съезды/переезды ip по mac-ам и вирусники с возможностью их разблокировки. Откомпилено это все на FreeBSD, впринципе использовался чистый си + net-snmp библиотеки - поидеи должна компилиться на любой *nix платформе. Поскольку для опроса arp таблицы используются стандартные snmp mib - то теоретически способна работать с любой железякой поддержующей эти самые mib.... И скрипт блокировки/разблокировки вирусников также можно переписать для работы с любой железкой. Еще раз повторюсь - что это решение было сделано для работы с аппаратным роутером ибо для софтварного итак есть прекрасные проги :) Ужс. Сколько вы на это времени потратили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BlackDeath Опубликовано 22 августа, 2008 · Жалоба неочень много :) недельку наверное ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Den_LocalNet Опубликовано 22 августа, 2008 · Жалоба BlackDeath Хотел Вам написать в приват, но почему-то мне запрещено это делать. Поделитесь своим творением пожалуйста... Если можно то на admin#lan.com.ua Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 августа, 2008 (изменено) · Жалоба А смысл в этом творении, если сеть не управляемая (судя по заголовку темы) и абонент может сменить и мак и IP одновременно на любые нужные ему в нужный момент времени ? в том числе и на присутсвующие в Вашей базе. Изменено 22 августа, 2008 пользователем st_re Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BlackDeath Опубликовано 22 августа, 2008 · Жалоба обычно пару mac-ip мало кто из пользователей додумывается сменить ;) а если додумается - то понятное дело в неуправляемой сети ничего не поможет :) BlackDeathХотел Вам написать в приват, но почему-то мне запрещено это делать. Поделитесь своим творением пожалуйста... Если можно то на admin#lan.com.ua Заранее спасибо. в пн. буду на работе - подготовлю архив и скину ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
