nickola Опубликовано 22 июля, 2008 (изменено) · Жалоба Помогайте други, сил больше нет.. за свичем (2) находится гейт (в гейте 2 сетевых интерфейса, прокся построена на W2003+TI), и еше пара офисных машин; далее по магистральной линии (Line1) пошла локалка. Пару недель назад начали увеличиваться/пропадать пинги, танцы с бубнами в виде рестарта ВСЕХ!!! свичей не помогли, лаги в сети так и остались. Но в се это происходит с какой то хаотичной периодичностью. То день - два все нормально, а то раз, и час полтора "лежит" вся сетка. но вот отыскали следующую особенность - при физическом отключении от свича (1) люой из линий также пропадает пинг, причем пинг пропадает от гейта до машины, которая включена в один свич с гейтом, т.е. (2).. в общим гейт и пингуемая машина в одном кабинете... вот это меня вообще загнало в ступор.... уже ничего не соображаю. Попрошу пальцами в сторону "умных" свичей и *nix-ов не показывать, ибо бюджет сети маленький а городок и вообще одно название а не город, сеть отлично работала 2 года на том что имеем. Изменено 22 июля, 2008 пользователем nickola Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 22 июля, 2008 · Жалоба Возможно дело в arp spoofing или в атаке на переполнение mac таблиц свичей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 22 июля, 2008 · Жалоба Была подобная фигня, оказалось DLINK ADSL модем флудил от перегрева На улице жарко - сеть лежит, остыло - сеть заработала Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 22 июля, 2008 · Жалоба А еще проверьте, нет ли петель по беспроводке. (от абонентов) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickola Опубликовано 22 июля, 2008 · Жалоба Не ребят, скорее первое, но со спуфингом можно еффективно бороться в win-сетях?? У мну уже рак мозга скоро буит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 22 июля, 2008 · Жалоба Мы на своей колбасе решаем этот вопрос так. Сеть логически можно разделить на 3 сегмента. в месте, где сходятся 3 магистрали стоит управляемый свитч compex SXP2224WM. В момент, когда все начинает глючить, вырубаем все 3 магистрали (или 2, если вырубаешь не со свитча, а удаленно) и проверяя есть проблема или нет, возвращаем магистрали на место. А дальше у нас не больше 10 мутаторов на сегмент, вычисляется кто такой умным за пол часа беготней по мутаторам... Пионернет, а вы что хотели?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 22 июля, 2008 · Жалоба но со спуфингом можно еффективно бороться в win-сетях?? Можно, отрубая от сети спуферов и других кулхацкеров. У нас в сети другая трабла есть. Авторизация на серваке MAC+IP (на безлим можно особо не стараться... пометровщики все на ВПНках) и когда появляется кулхацкер со сниффером, видно как у компов "плывут" MAC адреса (смотрю LNetScan под винду), при этом у самого кулхацкера MAC не плывет. Дальше все просто: составляем полный списко всех клиентов и вычеркиваем тех у кого MACи "плывут". Для успешной операции надо заранее переписать все актуальные МАС-адреса клиентов (не подмененные). У меня как правило остается около 10 компов, которые проверяются уже просто методом тыка (всмысле выдергиванием из мутатора) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickola Опубликовано 23 июля, 2008 · Жалоба Мы уже в принципе к такому алгоритму действий пришли... однако када кулхацкер это одно, но вот скорее всего это просто абонент у которого какаято срань на машине завялась Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickola Опубликовано 23 июля, 2008 · Жалоба Какие ешо мысли коллеги?.. проблема актуальна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nallien Опубликовано 23 июля, 2008 · Жалоба надо искать - что-то или кто-то флудит. 1. ждем пока начнется проблема, сидим в точке где свитч 1 как только "началось": 2. в свитч 2 я так понимаю включен шлюз 3. в свитч 1 вставляем ноут или компутер там - и с него пингаем шлюз: если проблема есть (по описанию должна) то: 4. выдергиваем сво свитча 1 ВСЕ абсолютно ВСЕ линки кроме ноутбука с которого идет пинг на шлюз. если пинг нормализовался - начинаем по одному вставлять линки. тот линки после подключения которого пинг ведет себя неудовлетворительно - и есть причина. в таком случае идем дальше и смотрим аналогичное на свитчах дальше вычисляя узел в котором проблема. это может быть свитч, сетевая, но по описанию - должна быть инфицированная машина или вредный пользователь. 5. в случае если с включеным в свитч 1 ТОЛЬКО тестовым ноутбуком\компутером пинг на шлюз все равно с высокой латентностью - отключаем на свитче №2 аналогично схеме выше все кроме шлюза - если все равно не помогло - то у вас проблема со свитчем 1 или 2. или же их портами. кроме того было бы не плохо помониторить нагрузку на шлюз во время этих проблем и стать снифером на шлюз или в любом проблемном участке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickola Опубликовано 23 июля, 2008 · Жалоба Спасибо коллеги за поддержку. С ноутом попремся на крышу в выходной (если не выясним до конца) ... в виде жеста доброй воли сгоняли вчера к клиентам из "черного" списка, почистили им машины (гадюшник ишо тот оказался), установили новые версии антивирей с последними обновлениями , провели беседу о ненужности антивирусов которые есть, но не обновляются с 2006 года (я вообще в шоке, нафига козе баян)... К вечеру спуфинга не наблюдалось уже, но будем следить. Всетаки решили потратиться на умные свичи, и поставим несколько на узловые дома.. правда ценник для нашего бюджета почти неподъемный... а что делать... маленькие сетки - маленькие бедки, выростают сетки - выростают бедки.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jumper Опубликовано 26 июля, 2008 · Жалоба попробовать arp -a если на выходе будет светиться несколько ip с одинаковыми мак-адресами, значит арп-вирь смысл виря в следующем: идет подмена мак-адреса шлюза для всех клиентов сети на мак-адрес зараженной машины, в итого весь трафик проходит через зараженную машину. если это http трафик, то в начало каждой страницы вставляется ява-скрипт, который, в случае неотключенного выполнения ява-скриптов на машине при работе под ie с правами локального администратора делает из жертвы очередного зомби. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickola Опубликовано 27 июля, 2008 · Жалоба Да так оно и есть... выловили в сети десяток таких зомбей... всем вычистили машины, проблема ушла. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...