[nickola]

Помогайте други, сил больше нет.. за свичем (2) находится гейт (в гейте 2 сетевых интерфейса, прокся построена на W2003+TI), и еше пара офисных машин; далее по магистральной линии (Line1) пошла локалка. Пару недель назад начали увеличиваться/пропадать пинги, танцы с бубнами в виде рестарта ВСЕХ!!! свичей не помогли, лаги в сети так и остались. Но в се это происходит с какой то хаотичной периодичностью. То день - два все нормально, а то раз, и час полтора "лежит" вся сетка. но вот отыскали следующую особенность - при физическом отключении от свича (1) люой из линий также пропадает пинг, причем пинг пропадает от гейта до машины, которая включена в один свич с гейтом, т.е. (2).. в общим гейт и пингуемая машина в одном кабинете... вот это меня вообще загнало в ступор.... уже ничего не соображаю. Попрошу пальцами в сторону "умных" свичей и *nix-ов не показывать, ибо бюджет сети маленький а городок и вообще одно название а не город, сеть отлично работала 2 года на том что имеем.

Edited July 22, 2008 by nickola

[mschedrin]

Возможно дело в arp spoofing или в атаке на переполнение mac таблиц свичей.

[Heggi]

Была подобная фигня, оказалось DLINK ADSL модем флудил от перегрева

На улице жарко - сеть лежит, остыло - сеть заработала

[Ivan Rostovikov]

А еще проверьте, нет ли петель по беспроводке. (от абонентов)

 

[nickola]

Не ребят, скорее первое, но со спуфингом можно еффективно бороться в win-сетях??

У мну уже рак мозга скоро буит...

[Heggi]

Мы на своей колбасе решаем этот вопрос так. Сеть логически можно разделить на 3 сегмента. в месте, где сходятся 3 магистрали стоит управляемый свитч compex SXP2224WM. В момент, когда все начинает глючить, вырубаем все 3 магистрали (или 2, если вырубаешь не со свитча, а удаленно) и проверяя есть проблема или нет, возвращаем магистрали на место. А дальше у нас не больше 10 мутаторов на сегмент, вычисляется кто такой умным за пол часа беготней по мутаторам... Пионернет, а вы что хотели?)

[Heggi]

но со спуфингом можно еффективно бороться в win-сетях??

Можно, отрубая от сети спуферов и других кулхацкеров.

 

У нас в сети другая трабла есть. Авторизация на серваке MAC+IP (на безлим можно особо не стараться... пометровщики все на ВПНках) и когда появляется кулхацкер со сниффером, видно как у компов "плывут" MAC адреса (смотрю LNetScan под винду), при этом у самого кулхацкера MAC не плывет. Дальше все просто: составляем полный списко всех клиентов и вычеркиваем тех у кого MACи "плывут". Для успешной операции надо заранее переписать все актуальные МАС-адреса клиентов (не подмененные). У меня как правило остается около 10 компов, которые проверяются уже просто методом тыка (всмысле выдергиванием из мутатора)

[nickola]

Мы уже в принципе к такому алгоритму действий пришли...

однако када кулхацкер это одно, но вот скорее всего это просто абонент у которого какаято срань на машине завялась

[nickola]

Какие ешо мысли коллеги?.. проблема актуальна.

[Nallien]

надо искать - что-то или кто-то флудит.

 

1. ждем пока начнется проблема, сидим в точке где свитч 1 как только "началось":

2. в свитч 2 я так понимаю включен шлюз

3. в свитч 1 вставляем ноут или компутер там - и с него пингаем шлюз: если проблема есть (по описанию должна) то:

4. выдергиваем сво свитча 1 ВСЕ абсолютно ВСЕ линки кроме ноутбука с которого идет пинг на шлюз. если пинг нормализовался - начинаем по одному вставлять линки. тот линки после подключения которого пинг ведет себя неудовлетворительно - и есть причина. в таком случае идем дальше и смотрим аналогичное на свитчах дальше вычисляя узел в котором проблема. это может быть свитч, сетевая, но по описанию - должна быть инфицированная машина или вредный пользователь.

5. в случае если с включеным в свитч 1 ТОЛЬКО тестовым ноутбуком\компутером пинг на шлюз все равно с высокой латентностью - отключаем на свитче №2 аналогично схеме выше все кроме шлюза - если все равно не помогло - то у вас проблема со свитчем 1 или 2. или же их портами.

 

кроме того было бы не плохо помониторить нагрузку на шлюз во время этих проблем и стать снифером на шлюз или в любом проблемном участке.

 

[nickola]

Спасибо коллеги за поддержку.

С ноутом попремся на крышу в выходной (если не выясним до конца)

... в виде жеста доброй воли сгоняли вчера к клиентам из "черного" списка, почистили им машины (гадюшник ишо тот оказался), установили новые версии антивирей с последними обновлениями , провели беседу о ненужности антивирусов которые есть, но не обновляются с 2006 года (я вообще в шоке, нафига козе баян)...

К вечеру спуфинга не наблюдалось уже, но будем следить.

Всетаки решили потратиться на умные свичи, и поставим несколько на узловые дома.. правда ценник для нашего бюджета почти неподъемный... а что делать... маленькие сетки - маленькие бедки, выростают сетки - выростают бедки....

[jumper]

попробовать arp -a

если на выходе будет светиться несколько ip с одинаковыми мак-адресами, значит арп-вирь

смысл виря в следующем: идет подмена мак-адреса шлюза для всех клиентов сети на мак-адрес зараженной машины, в итого весь трафик проходит через зараженную машину. если это http трафик, то в начало каждой страницы вставляется ява-скрипт, который, в случае неотключенного выполнения ява-скриптов на машине при работе под ie с правами локального администратора делает из жертвы очередного зомби.

[nickola]

Да так оно и есть...

выловили в сети десяток таких зомбей...

всем вычистили машины, проблема ушла.