Jump to content

Атаки в сети

Alex9
 Share

Recommended Posts

Alex9

Alex9

Posted
Posted

Привет всем!

 

не знаю как правильно называется то, что у меня происходит в сети, но происходит следующее:

какой-то урод временами (иногда длительно иногда нет, но началось где-то с неделю периодически и почти каждый день) выдает в сеть кучу разных IP с разными МАКами. У меня стоит прога на винде типа IPGuard, которая следит за адресным пространством. Так вот она и фиксирует всю эту фигню.

 

Соответственно, когда этот чудила начинает шалить в сети, у многих начинаются перебои с интенетом и сеткой. Начинаю высвечиваться ошибки типа уже есть такой ИП адрес и.т. На время вообще может пропасть сеть у клиента, потом снова появиться. Вобщем достало меня это уже.

 

Самое интересное что бывает прога фиксирует ежесекундно кучу разных ip с разными мак-адресами, а бывает фиксирует в минуту по 2-3 ip с одного мака, потом с другого. Видимо он как-то время и периодичность выставляет, чтобы отследить сложнее было.

 

В этой связи есть несколько вопросов к спецам!

 

1. что это за ерунда такая и как он это делает?

 

2. как отловить этого гада? (сеть построена не неуправояемых свичах, в центре правда управляемый Планет стоит, даже не управляемый а СМАРТ, правда есть возможность писать ACL листы , но так и не въехал как это делается. Может подскажет кто?)

 

3. какими мерами можно снизить негативное водействие таких атак, чтобы у клиента не пропадал интернет и сеть, когда такое происходит.

 

сейчас пытаемся попробовать прописывать в арп айпи с маками, только при перезагрузке все исчезает.

4. как в арп винды прописать статические айпи и маки, чтобы они при перезагрузке не исчезали?

 

 

Помогите, плз.!

 

зы. пытались вычислить отключая сегментами сеть в центре, но трудность в том, что не всегда идет ежесекундное фиксирование аномалии, а может в минуту пройти 3-6 неправильных ип+мак, потом может через 3 или более минут, потом снова каждую минуту. Воющем вот еще в чем сложность.

Bozman

Bozman

Posted
Posted

У нас в сети такие гады тоже появлялись, не исключено что будет их несколько. Следовательно вычислить намного будет сложнее. Если сеть состоит из более 100 коммутаторов будет достаточно сложно его отловить (по собственному опыту знаю). Совет такой, проведите разведку среди своих клиентов, в основном это пацанва и они примерно знают кто это может делать. Тут и начинайте сеть отключать сегментами и ловите. Чтобы такого в преть не было покупайте управляемые коммутаторы, рекомендую Cisco.

user_anonymous

user_anonymous

Posted
Posted

LOL. Вот к чему приводит экономия на нормальном железе. Я не буду советовать вам убить себя об стену (хотя и хочется). Я посоветую купить управляемый коммутатор и с его помощью отследить, откуда ветер дует. Делатеся это так: сначала ставите коммутатор в центр и смотрите, с какого порта падает говно. Когда вы это выяснили - меняете на управляемый следующий коммутатор и так далее по дереву, пока не найдете порт злоумышленника. Потом берете кусачки и перекусываете идущую к нему витую пару.

 

TIR52

TIR52

Posted
Posted

1. было пара похожих случаев. в первом у клиента оказался днс сервер поднят. во втором днс + дшсп. еще можно предположить что стоит что то наподобие - http://l2nt.info/

2. искать также как и глюкавые мыльницы. отключение сначала веток. а потом по ветке по одному свичу.

3. IP и маки статикой у клиентов и прописывать в арп таблицу статикой маки серверов. можно сделать батник и запускать вместе с загрузкой винды.

4. в винде по моему ни как. она через определенное время обновляет таблицу хоть ты ее и прописал статикой. в линухе норм прописал и забыл.

Kaban

Kaban

Posted
Posted
У нас в сети такие гады тоже появлялись, не исключено что будет их несколько. Следовательно вычислить намного будет сложнее. Если сеть состоит из более 100 коммутаторов будет достаточно сложно его отловить (по собственному опыту знаю). Совет такой, проведите разведку среди своих клиентов, в основном это пацанва и они примерно знают кто это может делать. Тут и начинайте сеть отключать сегментами и ловите. Чтобы такого в преть не было покупайте управляемые коммутаторы, рекомендую Cisco.

Хорошая реккомендация. Особенно если учесть тот факт что циско отслеживающий ip-mac связки (Catalyst 3650) стоит не дешевле $2000 .

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.