kirush Опубликовано 18 марта, 2009 (изменено) · Жалоба Добрый день! Голова набекрень скоро съедет. Подскажите что может быть. Роутер FreeBSD. Клиент 10.1.0.1 Роутер 10.1.255.254 На роутере, dhcpd. Клиент получает ИП. С клиента пробуем пинговать роутер - не идет. С роутера пингуем клиента - не идет. В 100% Windows Vista. Делаем на роутере arp -d 10.1.0.1 пинги побежали, но через некоторое время всё по новой. Рядом ставим Windows XP - проблем нет. Что может быть? P.S. arp -d -a делал. Помогает но не на долго. Периодически проскакивает: kernel: arp: 00:13:d4:93:30:1a attempts to modify permanent entry for 10.1.255.255 on rl1 arpwatch: reused old ethernet address 10.1.255.255 0:13:d4:93:30:1a (0:13:8f:9b:98:6c) kernel: arp: 00:13:d4:93:30:1a attempts to modify permanent entry for 10.1.255.255 on rl1 Изменено 18 марта, 2009 пользователем kirush Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadislaus Опубликовано 19 марта, 2009 · Жалоба Мак (00:13:8f:9b:98:6c) какой машины? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 19 марта, 2009 · Жалоба таких очень много и разных. Абонентов в сети >2к вот еще, сначала лезет за адресом а потом на тебе.... dhcpd: DHCPDISCOVER from 00:1f:e1:04:a9:5f via rl1: network 10.1/16: no free leases dhcpd: DHCPDISCOVER from 00:1f:e1:04:a9:5f via rl1: network 10.1/16: no free leases kernel: arp: 00:1f:e1:04:a9:5f attempts to modify permanent entry for 10.1.255.255 on rl1 kernel: arp: 00:1f:e1:04:a9:5f attempts to modify permanent entry for 10.1.255.255 on rl1 arpwatch: changed ethernet address 10.1.255.255 0:1f:e1:4:a9:5f (0:e0:43:47:5:6b) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadislaus Опубликовано 19 марта, 2009 · Жалоба Много клиентов с одним и тем же маком??? Отследить, если коммутаторы управляемые, и убить. dhcpd: DHCPDISCOVER from 00:1f:e1:04:a9:5f via rl1: network 10.1/16: no free leases - закончился пул адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lucky SB Опубликовано 19 марта, 2009 · Жалоба dhcp отдает клиенту 10.1.255.255 ??? Показывай ifconfig, конфиг dhcpd Но конечно 2к компов в одной сети это неправильно. Разбивай на сегменты хотя бы по 250 компов, каждый сегмент со своей /24 сетью. А лучше конечно по 64. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 19 марта, 2009 · Жалоба Свежачок: http://soft.mail.ru/pressrl_page.php?id=33046 http://isc.sans.org/diary.html?storyid=6025 Теперь ищем способы борьбы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lucky SB Опубликовано 19 марта, 2009 · Жалоба А виста кстати ведет себя с DHCP по мелокмягкому ;) Она посылает второй запрос, что-бы попробовать получить от DHCP сервера доп настройки: адрес прокси, и прочее... И посылает этот запрос опять же броадкастом, и получая ответ от левого сервера (не от того, который ей ip-адрес выдал) берет из него адрес DNS сервера. Причем что самое грустное - адрес DNS сервера у нее уже есть и она его не запрашивала, в ответе от левого сервера информации об адресе прокси и прочего, что было в запросе висты нету. А вот на тебе. берет и меняет. Бороться видимо прописыванием жестко DNS у клиента. и фильтрацией на свичах ;( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 19 марта, 2009 · Жалоба Пока нашел выход, бороться следующим образом: Включаю сниффер, ipconfig /release ipconfig /renew останавливаю Смотрим кто там еще предлагает нам получить настроички - баним по маку на свитче, а далее отрубаем физически. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gorbushka Опубликовано 19 марта, 2009 · Жалоба с каким ip она поднимает DHCP известно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 19 марта, 2009 · Жалоба Некоторые клиенты получали ипы: ИП: 10.1.255.254 (<-адрес нашего шлюза) MASK: 255.255.0.0 gw: 10.1.255.254 днсы которые описаны выше в статьях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 19 марта, 2009 (изменено) · Жалоба Тут наблюдали вирусню которая сквозь фильтры прорывается... :-( Не поняли как - но факт... Изменено 19 марта, 2009 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexey K Опубликовано 19 марта, 2009 (изменено) · Жалоба Да, есть такое - сталкиваемся регулярно, причем в одном сегменте в последние дни такая напасть наблюдается постоянно. Клиенты как раз получают такой же IP, какой и у шлюза. Изменено 19 марта, 2009 пользователем Alexey K Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 20 марта, 2009 · Жалоба Вопрос стоит ЧЕМ лечить клиента? ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 20 марта, 2009 · Жалоба уфф... наши 2 дня бились - потом в инете нашли. Отключили какой-то драйвер с длинным названием в устройствах (включив режим отображать все). А потом оно все вылезло наружу. Живет под упаковщиком каким-то проверка на живую и снятием харда не помогала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 20 марта, 2009 · Жалоба подробнее?.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 20 марта, 2009 · Жалоба делал не я мне только рассказали в 2-х словах. каспер на машину не ставился, на снятом харде все чисто было.\ сначала чистили руками (в реестре), но глюки продолжались (днс подменялся) потом в списки усирорйств в меню поставили галочку отображать устр-ва не плаг энд плей. в системе была длл с замысловатым длинным именем - удалили. потом каким-то анти твикером снесли упаковщик. потом уже встал касперский и другие антивирусы нашли заразу. Отправной точкой в поиске решения в сети было - не ставится каспер - подиена ДНС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rixo Опубликовано 20 марта, 2009 · Жалоба за 3 дня заразились две машины в сетке чистка антивирусами и руками не помогла. снесли винду клиентам, поставили заново. Вирус определяет подсеть, подымает свой dhcp и выдаёт левые dns. Судя по всему это начло провайдерских междуусобных войн, за клиента. Самого иногда посещают такие мысли, устроить кибервойну в городе. Но останавливало пока только то, что зарабатываю больше по честному :) Видимо пришёл момнет перехода полностью на управляемое железо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...