Beast_v Опубликовано 16 ноября, 2008 · Жалоба Собственно в чем проблема, начинают звонить абоненты: "- здравствуйте, у меня конфликт IP адреса..." Выясняем мак вредителя, смотрим логи dhcp сервера... Nov 16 11:48:17 ns dhcpd: DHCPDISCOVER from 00:30:1b:42:83:ef via 172.16.13.1 Nov 16 11:48:17 ns dhcpd: DHCPOFFER on 172.16.13.67 to 00:30:1b:42:83:ef via 172.16.13.1 Nov 16 11:48:17 ns dhcpd: DHCPREQUEST for 172.16.13.88 (192.168.0.250) from 00:30:1b:42:83:ef via 172.16.13.1: lease 172.16.13.88 unavailable. Nov 16 11:48:17 ns dhcpd: DHCPNAK on 172.16.13.88 to 00:30:1b:42:83:ef via 172.16.13.1 Соответственно сервер выдает адрес, клиент почему-то его игнорирует и запрашивает чужой, на что сервер сначала говорит мол фиг, занято, а потом спокойно подтверждает. С чем это может быть связано? Данная проблема в нашей сети уже встречалась, в другом сегменте, при том проблема была практически у всех обитателей сегмента. адреса раздавались как попало и кому попало, но по примеру приведенного выше лога. В прошлый раз проблема как появилась так и пропала, сама по себе. Может ли это быть как-то связано с оборудованием? Или вирье? Спасибо за внимание Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 16 ноября, 2008 · Жалоба DHCPNAK - это не отказ сервера выдать адрес? У вас нету клиентов, прописавших себе адреса статикой? Похоже на это. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Beast_v Опубликовано 16 ноября, 2008 (изменено) · Жалоба нет, адреса выдаются по DHCP специально созванивались уточняли, после ребута обоих компов все вдруг чудесным образом ожило, походая ситуация с другими клиентами, кому-то маска кривая выдалась, после ребута стало нормально Свитчи которые релеят DHCP - Dlink DES-3828 если бы было статикой. то и логов бы не было Изменено 16 ноября, 2008 пользователем Beast_v Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 16 ноября, 2008 · Жалоба Вирус это. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Beast_v Опубликовано 16 ноября, 2008 (изменено) · Жалоба Вирус это.Мм, а что за вирус если не секрет? в последний раз когда у нас такое было, баговал абослютно весь сегмент, само собой что у ВСЕХ вируса быть не может.или хотяб по каким ключам искать Изменено 16 ноября, 2008 пользователем Beast_v Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 ноября, 2008 · Жалоба Помоему ХР запрашивает аренду по ДХЦП адрес который прописан в альтернативной конфигурации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
list Опубликовано 17 ноября, 2008 · Жалоба Вчера вылезла такая же проблема. Выдатся чужие адреса, а если адрес свой, то маска кривая. IP адрес dhcp сервера выдавшего инфу клиенту - реальный. Перезагрузки не помогают. Куда копать? Подскажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex Freeman Опубликовано 17 ноября, 2008 · Жалоба DHCPNAK - это не отказ сервера выдать адрес?У вас нету клиентов, прописавших себе адреса статикой? Похоже на это. DHCPNAK - это отказ dhcp сервера выдать адрес, если он посчитает, что в запросе клиента есть некорректные данные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 17 ноября, 2008 · Жалоба Вирус этот уже не раз видели на своей сети. Всё хитро задумано. Вирус инфицирует машину, смотрит айпишник, маску, и адрес dhcp сервера который выдал айпишник инфицированой машине. Затем вирус начинает раздавать айпишники самостоятельно исходя из известныйх айпишников и масок(тут, кстати, есть ошибка в расчетах вирусописателя), важный признак - ДНСы он выдает левые. В самом DHCP пакете вирус указывает что dhcp сервер который выдал айпишник "такой-то", указывает он естественно айпи "правильного" сервера. Может быть немного сумбурно объяснил. Возьмите wireshark и посмотрите у клиента траффик - все стяенет ясно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 ноября, 2008 · Жалоба Вирус этот уже не раз видели на своей сети. Всё хитро задумано. Вирус инфицирует машину, смотрит айпишник, маску, и адрес dhcp сервера который выдал айпишник инфицированой машине. Затем вирус начинает раздавать айпишники самостоятельно исходя из известныйх айпишников и масок(тут, кстати, есть ошибка в расчетах вирусописателя), важный признак - ДНСы он выдает левые. В самом DHCP пакете вирус указывает что dhcp сервер который выдал айпишник "такой-то", указывает он естественно айпи "правильного" сервера. Может быть немного сумбурно объяснил. Возьмите wireshark и посмотрите у клиента траффик - все стяенет ясно. Видимо все сайты делаются парнушными и с вирус эксплоитами после такого... Нада на инет шлюзе прозрачно заворачивать все днс запросы на себя, не русорсоёмко и проблемы никто не заметит... А мак он в пакетах дхцп тоже подменяет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_skY Опубликовано 23 марта, 2009 · Жалоба подскажите что за вирус, столкнулся с подобной проблемой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gorbushka Опубликовано 23 марта, 2009 (изменено) · Жалоба подскажите что за вирус, столкнулся с подобной проблемой. http://forum.nag.ru/forum/index.php?showtopic=47754 Изменено 23 марта, 2009 пользователем Gorbushka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 23 марта, 2009 · Жалоба Видел этот вирус в сети, благо на 90% доступа стоят DES-3526 и левые DHCP успешно блркируются ACL-ками, DHCP ответ может придти только с магистрали. 53 порт наружу закрывать не хочется ибо бывает что нужно nslookup у внешнего сервера спросить, а так бы закрыл нафиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivantey Опубликовано 25 марта, 2009 (изменено) · Жалоба Вирус прячется с помощью вот этого http://www.spyware-ru.com/udalit-trojan-tdsserv/ А сам вирус один из разновидностей DNSchanger Изменено 25 марта, 2009 пользователем Ivantey Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...