подмена MAC ARP спуфинг

[PROv]

Всем доброо времени суток

Есть локальная сеть построенная в основном на неуправляемом оборудовании. В ядре стоит d-link des 3828. В одном из сегментов зафиксирован хост 192.168.0.1 который постоянно меняет свой мак, причем если запустить на него пинг то он почти сразу перестает отвечать 3-4 запроса и все. Известно на каком порту в 3828 он висит, но в этом сегменте около 50 машин. Вопрос: как узнать в какой порт свича включен этот хост на неуправляемом сурке?

Смотрел ARPmonitorом. Ничего страшного от этого не происходит но всеже интересно - что так глючит комп или какой то роутер

 

кто что посоветует в этой ситуации

[Kaban]

если свич неуправляемый - то только механическим методом последовательного вытыкания портов.

[PROv]

да но как если он выключается или перестает отвечать на пинг? 3-4 запроса и пропадает раньше можна было попингоавать дольше теперь нет

[dsk]

Поставьте в тот сегмент управляемый свич и проведите отлов.

[PROv]

так и сделаем

[SvS]

но всеже интересно - что так глючит комп или какой то роутер

Это вирус. Недавно тоже такого ловили, поймали случайно.

Без управляемого коммутатора никак.

 

[a0d75]

Как. Очень даже как. ipguard, ip-sentinel. Узнать где находится конечно не сможете, но заблокировать можно. Запустите arpwatch и будете иметь базу MAC адресов абонентов.

Edited July 9, 2009 by a0d75

[PROv]

база мак адресов у нас есть потому что даем ір по dhcp, а этот хост просто постоянно меняет свой мак. Есть DES 35550 я думаю им и словим этого паразита вот что говорит arp monitor

09.07.2009 10:45:17 Flip flop 00-1B-FC-FF-79-26 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-81-B3-92 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-B9-26 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-C4-00 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-81-4C-A2 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1C-23-11-EE-45 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-CC-92 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1C-F0-E2-AE-6A takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-21-91-2E-08-68 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1C-F0-E2-9B-6A takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-B8-8C takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-13-77-69-76-35 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-C5-95-82 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-21-91-2C-B0-F2 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-C1-16-8C takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-21-91-2C-70-D0 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-C6-38 takes other's IP: 192.168.0.1

и так постоянно

 

[Elisium]

да но как если он выключается или перестает отвечать на пинг? 3-4 запроса и пропадает раньше можна было попингоавать дольше теперь нет

По Вашему логу этот хост поменял КУЧУ маков за одну секунду (10:45:17) ... если это обычное явление, то все таки выдергиваете провода из неуправляемого свича по одному и ловите этот хост по признаку пропадания в логе флифлопа с этим ИПом ...

[SvS]

Как. Очень даже как. ipguard, ip-sentinel. Узнать где находится конечно не сможете, но заблокировать можно. Запустите arpwatch и будете иметь базу MAC адресов абонентов.

А вот и никак! Этот вирус (если у вопрошавшего такой же) сам смотрит arp-таблицу и "прикидывается" теми, кого там увидит (берёт их MAC). DHCP-серверу от этого крышу сносит. Выявить можно только если знаешь, где должны быть абоненты с маками из лога. Если они оказываются не на том порту узлового коммутатора - значит, вирус в этом сегменте. И так вниз по дереву, до абонентских...

 

[terrible]

а если так попробовать?

 

config ports 23 st en lea di

conf port_se ports 23 ad en max 16

create fdb vlan_name 00-1E-58-B7-C6-38 port 23

[alcool]

а какие признаки вируса на стороне абонента?

[SvS]

А на стороне абонента мы не искали. Вот еще, делать нам больше нечего. Нам достаточно того, что когда гасишь абонентский порт - в сети наступает полный покой, как включаешь - начинаются ужасы. Мы ему позвонили и сообщили об этом и выключили, он дальше сам там разбирался...

[Ivan_83]

А дальше как жить будете?

Всмысле когда десяток-другой таких абонентов появится?

[SvS]

Так они как появляются, так и пропадают. Вылечиваются и снова "встают в строй". Сеть после того случая мы немного переделали и себя обезопасили от повторения ситуации. А вирусами (и вообще компьютерами) абонентскими мы не занимаемся, если возникают какие-то спорные ситуации - приходим тестить со своим ноутбуком.

[Max P]

больше похоже на битый кабель, проверьте линк-тестером, у нас обычно мак-адрес если на порту скачет - значит 99% кривой обжим, ну и плюс проверка на ошибки на порту

[PROv]

больше похоже на битый кабель, проверьте линк-тестером, у нас обычно мак-адрес если на порту скачет - значит 99% кривой обжим, ну и плюс проверка на ошибки на порту

розкажу поподробнее: вся сеть в диапазоне 192.168.10.1-192.168.100.255 выдача ip идет по привязке к mac адресу хоста в дхцп, шлюз 192.168.10.1 в ядре системы стоит d-link des 3828 в режиме свича с настроенными acl на каждый порт. Еще в одной точке стоит des 3550. Посмотреть какой ip весит на каком порту в 3828 не получается как я понял из-за не прохождение трафика через ipif свича.

Вырубаем подряд все порты на где 0.1 перестает пингоавться значит он в этой подсети - ищим его там. Но вот в чем прикол 0.1 пингуется на 3-х подсетях поочереди то есть потушил 192.168.18.1-255 пропал 2-3 минуты и он появляется на другом порту 192.168.11.1-255 как такое обяснить?

[itl2044]

Похоже, у Вас в сети есть НЕСКОЛЬКО wi-fi-мыльниц у абонентов.

[terrible]

Посмотреть какой ip весит на каком порту в 3828 не получается как я понял из-за не прохождение трафика через ipif свича.

sh ipfdb

[PROv]

Похоже, у Вас в сети есть НЕСКОЛЬКО wi-fi-мыльниц у абонентов.

да и не одна точка порядка 20