[kirush]

Добрый день!

Голова набекрень скоро съедет.

Подскажите что может быть. Роутер FreeBSD.

 

Клиент 10.1.0.1

Роутер 10.1.255.254

 

На роутере, dhcpd.

Клиент получает ИП.

С клиента пробуем пинговать роутер - не идет.

С роутера пингуем клиента - не идет.

 

В 100% Windows Vista.

 

Делаем на роутере arp -d 10.1.0.1

пинги побежали, но через некоторое время всё по новой.

Рядом ставим Windows XP - проблем нет.

Что может быть?

 

P.S. arp -d -a делал. Помогает но не на долго.

 

Периодически проскакивает:

kernel: arp: 00:13:d4:93:30:1a attempts to modify permanent entry for 10.1.255.255 on rl1

arpwatch: reused old ethernet address 10.1.255.255 0:13:d4:93:30:1a (0:13:8f:9b:98:6c)

kernel: arp: 00:13:d4:93:30:1a attempts to modify permanent entry for 10.1.255.255 on rl1

Изменено 18 марта, 2009 пользователем kirush

[vadislaus]

Мак (00:13:8f:9b:98:6c) какой машины?

[kirush]

таких очень много и разных. Абонентов в сети >2к

вот еще, сначала лезет за адресом а потом на тебе....

dhcpd: DHCPDISCOVER from 00:1f:e1:04:a9:5f via rl1: network 10.1/16: no free leases

dhcpd: DHCPDISCOVER from 00:1f:e1:04:a9:5f via rl1: network 10.1/16: no free leases

kernel: arp: 00:1f:e1:04:a9:5f attempts to modify permanent entry for 10.1.255.255 on rl1

kernel: arp: 00:1f:e1:04:a9:5f attempts to modify permanent entry for 10.1.255.255 on rl1

arpwatch: changed ethernet address 10.1.255.255 0:1f:e1:4:a9:5f (0:e0:43:47:5:6b)

[vadislaus]

Много клиентов с одним и тем же маком??? Отследить, если коммутаторы управляемые, и убить.

 

dhcpd: DHCPDISCOVER from 00:1f:e1:04:a9:5f via rl1: network 10.1/16: no free leases - закончился пул адресов.

 

[Lucky SB]

dhcp отдает клиенту 10.1.255.255 ???

Показывай ifconfig, конфиг dhcpd

 

Но конечно 2к компов в одной сети это неправильно.

Разбивай на сегменты хотя бы по 250 компов, каждый сегмент со своей /24 сетью. А лучше конечно по 64.

[kirush]

Свежачок:

 

http://soft.mail.ru/pressrl_page.php?id=33046

http://isc.sans.org/diary.html?storyid=6025

 

Теперь ищем способы борьбы.

[Lucky SB]

А виста кстати ведет себя с DHCP по мелокмягкому ;)

Она посылает второй запрос, что-бы попробовать получить от DHCP сервера доп настройки: адрес прокси, и прочее...

И посылает этот запрос опять же броадкастом, и получая ответ от левого сервера (не от того, который ей ip-адрес выдал) берет из него адрес DNS сервера.

Причем что самое грустное - адрес DNS сервера у нее уже есть и она его не запрашивала, в ответе от левого сервера информации об адресе прокси и прочего, что было в запросе висты нету. А вот на тебе. берет и меняет.

Бороться видимо прописыванием жестко DNS у клиента. и фильтрацией на свичах ;(

 

[kirush]

Пока нашел выход, бороться следующим образом:

Включаю сниффер,

ipconfig /release

ipconfig /renew

останавливаю

Смотрим кто там еще предлагает нам получить настроички - баним по маку на свитче, а далее отрубаем физически.

[Gorbushka]

с каким ip она поднимает DHCP известно?

[kirush]

Некоторые клиенты получали ипы:

ИП: 10.1.255.254 (<-адрес нашего шлюза)

MASK: 255.255.0.0

gw: 10.1.255.254

днсы которые описаны выше в статьях.

 

 

[sdy_moscow]

Тут наблюдали вирусню которая сквозь фильтры прорывается... :-(

Не поняли как - но факт...

Изменено 19 марта, 2009 пользователем sdy_moscow

[Alexey K]

Да, есть такое - сталкиваемся регулярно, причем в одном сегменте в последние дни такая напасть наблюдается постоянно. Клиенты как раз получают такой же IP, какой и у шлюза.

Изменено 19 марта, 2009 пользователем Alexey K

[kirush]

Вопрос стоит ЧЕМ лечить клиента? ;)

[sdy_moscow]

уфф... наши 2 дня бились - потом в инете нашли.

Отключили какой-то драйвер с длинным названием в устройствах (включив режим отображать все).

А потом оно все вылезло наружу.

Живет под упаковщиком каким-то проверка на живую и снятием харда не помогала.

[kirush]

подробнее?....

[sdy_moscow]

делал не я мне только рассказали в 2-х словах.

каспер на машину не ставился, на снятом харде все чисто было.\

сначала чистили руками (в реестре), но глюки продолжались (днс подменялся)

потом в списки усирорйств в меню поставили галочку отображать устр-ва не плаг энд плей.

в системе была длл с замысловатым длинным именем - удалили.

потом каким-то анти твикером снесли упаковщик.

потом уже встал касперский и другие антивирусы нашли заразу.

Отправной точкой в поиске решения в сети было - не ставится каспер - подиена ДНС.

[rixo]

за 3 дня заразились две машины в сетке

чистка антивирусами и руками не помогла.

снесли винду клиентам, поставили заново.

 

Вирус определяет подсеть, подымает свой dhcp и выдаёт левые dns.

Судя по всему это начло провайдерских междуусобных войн, за клиента.

Самого иногда посещают такие мысли, устроить кибервойну в городе.

Но останавливало пока только то, что зарабатываю больше по честному :)

Видимо пришёл момнет перехода полностью на управляемое железо.