Jump to content
Калькуляторы

подмена MAC ARP спуфинг

Всем доброо времени суток

Есть локальная сеть построенная в основном на неуправляемом оборудовании. В ядре стоит d-link des 3828. В одном из сегментов зафиксирован хост 192.168.0.1 который постоянно меняет свой мак, причем если запустить на него пинг то он почти сразу перестает отвечать 3-4 запроса и все. Известно на каком порту в 3828 он висит, но в этом сегменте около 50 машин. Вопрос: как узнать в какой порт свича включен этот хост на неуправляемом сурке?

Смотрел ARPmonitorом. Ничего страшного от этого не происходит но всеже интересно - что так глючит комп или какой то роутер

 

кто что посоветует в этой ситуации

Share this post


Link to post
Share on other sites

если свич неуправляемый - то только механическим методом последовательного вытыкания портов.

Share this post


Link to post
Share on other sites

да но как если он выключается или перестает отвечать на пинг? 3-4 запроса и пропадает раньше можна было попингоавать дольше теперь нет

Share this post


Link to post
Share on other sites

Поставьте в тот сегмент управляемый свич и проведите отлов.

Share this post


Link to post
Share on other sites
но всеже интересно - что так глючит комп или какой то роутер
Это вирус. Недавно тоже такого ловили, поймали случайно.

Без управляемого коммутатора никак.

 

Share this post


Link to post
Share on other sites

Как. Очень даже как. ipguard, ip-sentinel. Узнать где находится конечно не сможете, но заблокировать можно. Запустите arpwatch и будете иметь базу MAC адресов абонентов.

Edited by a0d75

Share this post


Link to post
Share on other sites

база мак адресов у нас есть потому что даем ір по dhcp, а этот хост просто постоянно меняет свой мак. Есть DES 35550 я думаю им и словим этого паразита вот что говорит arp monitor

09.07.2009 10:45:17 Flip flop 00-1B-FC-FF-79-26 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-81-B3-92 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-B9-26 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-C4-00 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-81-4C-A2 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1C-23-11-EE-45 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-CC-92 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1C-F0-E2-AE-6A takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-21-91-2E-08-68 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1C-F0-E2-9B-6A takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-B8-8C takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-13-77-69-76-35 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-C5-95-82 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-21-91-2C-B0-F2 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-C1-16-8C takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-21-91-2C-70-D0 takes other's IP: 192.168.0.1

09.07.2009 10:45:17 Flip flop 00-1E-58-B7-C6-38 takes other's IP: 192.168.0.1

и так постоянно

 

Share this post


Link to post
Share on other sites
да но как если он выключается или перестает отвечать на пинг? 3-4 запроса и пропадает раньше можна было попингоавать дольше теперь нет

По Вашему логу этот хост поменял КУЧУ маков за одну секунду (10:45:17) ... если это обычное явление, то все таки выдергиваете провода из неуправляемого свича по одному и ловите этот хост по признаку пропадания в логе флифлопа с этим ИПом ...

Share this post


Link to post
Share on other sites
Как. Очень даже как. ipguard, ip-sentinel. Узнать где находится конечно не сможете, но заблокировать можно. Запустите arpwatch и будете иметь базу MAC адресов абонентов.
А вот и никак! Этот вирус (если у вопрошавшего такой же) сам смотрит arp-таблицу и "прикидывается" теми, кого там увидит (берёт их MAC). DHCP-серверу от этого крышу сносит. Выявить можно только если знаешь, где должны быть абоненты с маками из лога. Если они оказываются не на том порту узлового коммутатора - значит, вирус в этом сегменте. И так вниз по дереву, до абонентских...

 

Share this post


Link to post
Share on other sites

а если так попробовать?

 

config ports 23 st en lea di

conf port_se ports 23 ad en max 16

create fdb vlan_name 00-1E-58-B7-C6-38 port 23

Share this post


Link to post
Share on other sites

а какие признаки вируса на стороне абонента?

Share this post


Link to post
Share on other sites

А на стороне абонента мы не искали. Вот еще, делать нам больше нечего. Нам достаточно того, что когда гасишь абонентский порт - в сети наступает полный покой, как включаешь - начинаются ужасы. Мы ему позвонили и сообщили об этом и выключили, он дальше сам там разбирался...

Share this post


Link to post
Share on other sites

А дальше как жить будете?

Всмысле когда десяток-другой таких абонентов появится?

Share this post


Link to post
Share on other sites

Так они как появляются, так и пропадают. Вылечиваются и снова "встают в строй". Сеть после того случая мы немного переделали и себя обезопасили от повторения ситуации. А вирусами (и вообще компьютерами) абонентскими мы не занимаемся, если возникают какие-то спорные ситуации - приходим тестить со своим ноутбуком.

Share this post


Link to post
Share on other sites

больше похоже на битый кабель, проверьте линк-тестером, у нас обычно мак-адрес если на порту скачет - значит 99% кривой обжим, ну и плюс проверка на ошибки на порту

Share this post


Link to post
Share on other sites
больше похоже на битый кабель, проверьте линк-тестером, у нас обычно мак-адрес если на порту скачет - значит 99% кривой обжим, ну и плюс проверка на ошибки на порту
розкажу поподробнее: вся сеть в диапазоне 192.168.10.1-192.168.100.255 выдача ip идет по привязке к mac адресу хоста в дхцп, шлюз 192.168.10.1 в ядре системы стоит d-link des 3828 в режиме свича с настроенными acl на каждый порт. Еще в одной точке стоит des 3550. Посмотреть какой ip весит на каком порту в 3828 не получается как я понял из-за не прохождение трафика через ipif свича.

Вырубаем подряд все порты на где 0.1 перестает пингоавться значит он в этой подсети - ищим его там. Но вот в чем прикол 0.1 пингуется на 3-х подсетях поочереди то есть потушил 192.168.18.1-255 пропал 2-3 минуты и он появляется на другом порту 192.168.11.1-255 как такое обяснить?

Share this post


Link to post
Share on other sites

Похоже, у Вас в сети есть НЕСКОЛЬКО wi-fi-мыльниц у абонентов.

Share this post


Link to post
Share on other sites

Посмотреть какой ip весит на каком порту в 3828 не получается как я понял из-за не прохождение трафика через ipif свича.

sh ipfdb

Share this post


Link to post
Share on other sites

Похоже, у Вас в сети есть НЕСКОЛЬКО wi-fi-мыльниц у абонентов.

да и не одна точка порядка 20

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this