PROv Posted July 8, 2009 · Report post Всем доброо времени суток Есть локальная сеть построенная в основном на неуправляемом оборудовании. В ядре стоит d-link des 3828. В одном из сегментов зафиксирован хост 192.168.0.1 который постоянно меняет свой мак, причем если запустить на него пинг то он почти сразу перестает отвечать 3-4 запроса и все. Известно на каком порту в 3828 он висит, но в этом сегменте около 50 машин. Вопрос: как узнать в какой порт свича включен этот хост на неуправляемом сурке? Смотрел ARPmonitorом. Ничего страшного от этого не происходит но всеже интересно - что так глючит комп или какой то роутер кто что посоветует в этой ситуации Share this post Link to post Share on other sites
Kaban Posted July 8, 2009 · Report post если свич неуправляемый - то только механическим методом последовательного вытыкания портов. Share this post Link to post Share on other sites
PROv Posted July 8, 2009 · Report post да но как если он выключается или перестает отвечать на пинг? 3-4 запроса и пропадает раньше можна было попингоавать дольше теперь нет Share this post Link to post Share on other sites
dsk Posted July 8, 2009 · Report post Поставьте в тот сегмент управляемый свич и проведите отлов. Share this post Link to post Share on other sites
PROv Posted July 8, 2009 · Report post так и сделаем Share this post Link to post Share on other sites
SvS Posted July 9, 2009 · Report post но всеже интересно - что так глючит комп или какой то роутерЭто вирус. Недавно тоже такого ловили, поймали случайно.Без управляемого коммутатора никак. Share this post Link to post Share on other sites
a0d75 Posted July 9, 2009 (edited) · Report post Как. Очень даже как. ipguard, ip-sentinel. Узнать где находится конечно не сможете, но заблокировать можно. Запустите arpwatch и будете иметь базу MAC адресов абонентов. Edited July 9, 2009 by a0d75 Share this post Link to post Share on other sites
PROv Posted July 9, 2009 · Report post база мак адресов у нас есть потому что даем ір по dhcp, а этот хост просто постоянно меняет свой мак. Есть DES 35550 я думаю им и словим этого паразита вот что говорит arp monitor 09.07.2009 10:45:17 Flip flop 00-1B-FC-FF-79-26 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-81-B3-92 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-B9-26 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-C4-00 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-81-4C-A2 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1C-23-11-EE-45 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-CC-92 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1C-F0-E2-AE-6A takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-21-91-2E-08-68 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1C-F0-E2-9B-6A takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-B8-8C takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-13-77-69-76-35 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-C5-95-82 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-21-91-2C-B0-F2 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-C1-16-8C takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-21-91-2C-70-D0 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-C6-38 takes other's IP: 192.168.0.1 и так постоянно Share this post Link to post Share on other sites
Elisium Posted July 9, 2009 · Report post да но как если он выключается или перестает отвечать на пинг? 3-4 запроса и пропадает раньше можна было попингоавать дольше теперь нет По Вашему логу этот хост поменял КУЧУ маков за одну секунду (10:45:17) ... если это обычное явление, то все таки выдергиваете провода из неуправляемого свича по одному и ловите этот хост по признаку пропадания в логе флифлопа с этим ИПом ... Share this post Link to post Share on other sites
SvS Posted July 9, 2009 · Report post Как. Очень даже как. ipguard, ip-sentinel. Узнать где находится конечно не сможете, но заблокировать можно. Запустите arpwatch и будете иметь базу MAC адресов абонентов.А вот и никак! Этот вирус (если у вопрошавшего такой же) сам смотрит arp-таблицу и "прикидывается" теми, кого там увидит (берёт их MAC). DHCP-серверу от этого крышу сносит. Выявить можно только если знаешь, где должны быть абоненты с маками из лога. Если они оказываются не на том порту узлового коммутатора - значит, вирус в этом сегменте. И так вниз по дереву, до абонентских... Share this post Link to post Share on other sites
terrible Posted July 10, 2009 · Report post а если так попробовать? config ports 23 st en lea di conf port_se ports 23 ad en max 16 create fdb vlan_name 00-1E-58-B7-C6-38 port 23 Share this post Link to post Share on other sites
alcool Posted July 12, 2009 · Report post а какие признаки вируса на стороне абонента? Share this post Link to post Share on other sites
SvS Posted July 12, 2009 · Report post А на стороне абонента мы не искали. Вот еще, делать нам больше нечего. Нам достаточно того, что когда гасишь абонентский порт - в сети наступает полный покой, как включаешь - начинаются ужасы. Мы ему позвонили и сообщили об этом и выключили, он дальше сам там разбирался... Share this post Link to post Share on other sites
Ivan_83 Posted July 13, 2009 · Report post А дальше как жить будете? Всмысле когда десяток-другой таких абонентов появится? Share this post Link to post Share on other sites
SvS Posted July 13, 2009 · Report post Так они как появляются, так и пропадают. Вылечиваются и снова "встают в строй". Сеть после того случая мы немного переделали и себя обезопасили от повторения ситуации. А вирусами (и вообще компьютерами) абонентскими мы не занимаемся, если возникают какие-то спорные ситуации - приходим тестить со своим ноутбуком. Share this post Link to post Share on other sites
Max P Posted July 14, 2009 · Report post больше похоже на битый кабель, проверьте линк-тестером, у нас обычно мак-адрес если на порту скачет - значит 99% кривой обжим, ну и плюс проверка на ошибки на порту Share this post Link to post Share on other sites
PROv Posted July 14, 2009 · Report post больше похоже на битый кабель, проверьте линк-тестером, у нас обычно мак-адрес если на порту скачет - значит 99% кривой обжим, ну и плюс проверка на ошибки на портурозкажу поподробнее: вся сеть в диапазоне 192.168.10.1-192.168.100.255 выдача ip идет по привязке к mac адресу хоста в дхцп, шлюз 192.168.10.1 в ядре системы стоит d-link des 3828 в режиме свича с настроенными acl на каждый порт. Еще в одной точке стоит des 3550. Посмотреть какой ip весит на каком порту в 3828 не получается как я понял из-за не прохождение трафика через ipif свича. Вырубаем подряд все порты на где 0.1 перестает пингоавться значит он в этой подсети - ищим его там. Но вот в чем прикол 0.1 пингуется на 3-х подсетях поочереди то есть потушил 192.168.18.1-255 пропал 2-3 минуты и он появляется на другом порту 192.168.11.1-255 как такое обяснить? Share this post Link to post Share on other sites
itl2044 Posted July 14, 2009 · Report post Похоже, у Вас в сети есть НЕСКОЛЬКО wi-fi-мыльниц у абонентов. Share this post Link to post Share on other sites
terrible Posted July 15, 2009 · Report post Посмотреть какой ip весит на каком порту в 3828 не получается как я понял из-за не прохождение трафика через ipif свича. sh ipfdb Share this post Link to post Share on other sites
PROv Posted July 15, 2009 · Report post Похоже, у Вас в сети есть НЕСКОЛЬКО wi-fi-мыльниц у абонентов. да и не одна точка порядка 20 Share this post Link to post Share on other sites