PROv Опубликовано 8 июля, 2009 · Жалоба Всем доброо времени суток Есть локальная сеть построенная в основном на неуправляемом оборудовании. В ядре стоит d-link des 3828. В одном из сегментов зафиксирован хост 192.168.0.1 который постоянно меняет свой мак, причем если запустить на него пинг то он почти сразу перестает отвечать 3-4 запроса и все. Известно на каком порту в 3828 он висит, но в этом сегменте около 50 машин. Вопрос: как узнать в какой порт свича включен этот хост на неуправляемом сурке? Смотрел ARPmonitorом. Ничего страшного от этого не происходит но всеже интересно - что так глючит комп или какой то роутер кто что посоветует в этой ситуации Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 8 июля, 2009 · Жалоба если свич неуправляемый - то только механическим методом последовательного вытыкания портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROv Опубликовано 8 июля, 2009 · Жалоба да но как если он выключается или перестает отвечать на пинг? 3-4 запроса и пропадает раньше можна было попингоавать дольше теперь нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 8 июля, 2009 · Жалоба Поставьте в тот сегмент управляемый свич и проведите отлов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROv Опубликовано 8 июля, 2009 · Жалоба так и сделаем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SvS Опубликовано 9 июля, 2009 · Жалоба но всеже интересно - что так глючит комп или какой то роутерЭто вирус. Недавно тоже такого ловили, поймали случайно.Без управляемого коммутатора никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a0d75 Опубликовано 9 июля, 2009 (изменено) · Жалоба Как. Очень даже как. ipguard, ip-sentinel. Узнать где находится конечно не сможете, но заблокировать можно. Запустите arpwatch и будете иметь базу MAC адресов абонентов. Изменено 9 июля, 2009 пользователем a0d75 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROv Опубликовано 9 июля, 2009 · Жалоба база мак адресов у нас есть потому что даем ір по dhcp, а этот хост просто постоянно меняет свой мак. Есть DES 35550 я думаю им и словим этого паразита вот что говорит arp monitor 09.07.2009 10:45:17 Flip flop 00-1B-FC-FF-79-26 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-81-B3-92 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-B9-26 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-C4-00 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-81-4C-A2 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1C-23-11-EE-45 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-CC-92 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1C-F0-E2-AE-6A takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-21-91-2E-08-68 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1C-F0-E2-9B-6A takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-B8-8C takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-13-77-69-76-35 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-C5-95-82 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-21-91-2C-B0-F2 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-C1-16-8C takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-21-91-2C-70-D0 takes other's IP: 192.168.0.1 09.07.2009 10:45:17 Flip flop 00-1E-58-B7-C6-38 takes other's IP: 192.168.0.1 и так постоянно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 9 июля, 2009 · Жалоба да но как если он выключается или перестает отвечать на пинг? 3-4 запроса и пропадает раньше можна было попингоавать дольше теперь нет По Вашему логу этот хост поменял КУЧУ маков за одну секунду (10:45:17) ... если это обычное явление, то все таки выдергиваете провода из неуправляемого свича по одному и ловите этот хост по признаку пропадания в логе флифлопа с этим ИПом ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SvS Опубликовано 9 июля, 2009 · Жалоба Как. Очень даже как. ipguard, ip-sentinel. Узнать где находится конечно не сможете, но заблокировать можно. Запустите arpwatch и будете иметь базу MAC адресов абонентов.А вот и никак! Этот вирус (если у вопрошавшего такой же) сам смотрит arp-таблицу и "прикидывается" теми, кого там увидит (берёт их MAC). DHCP-серверу от этого крышу сносит. Выявить можно только если знаешь, где должны быть абоненты с маками из лога. Если они оказываются не на том порту узлового коммутатора - значит, вирус в этом сегменте. И так вниз по дереву, до абонентских... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 10 июля, 2009 · Жалоба а если так попробовать? config ports 23 st en lea di conf port_se ports 23 ad en max 16 create fdb vlan_name 00-1E-58-B7-C6-38 port 23 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 12 июля, 2009 · Жалоба а какие признаки вируса на стороне абонента? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SvS Опубликовано 12 июля, 2009 · Жалоба А на стороне абонента мы не искали. Вот еще, делать нам больше нечего. Нам достаточно того, что когда гасишь абонентский порт - в сети наступает полный покой, как включаешь - начинаются ужасы. Мы ему позвонили и сообщили об этом и выключили, он дальше сам там разбирался... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 июля, 2009 · Жалоба А дальше как жить будете? Всмысле когда десяток-другой таких абонентов появится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SvS Опубликовано 13 июля, 2009 · Жалоба Так они как появляются, так и пропадают. Вылечиваются и снова "встают в строй". Сеть после того случая мы немного переделали и себя обезопасили от повторения ситуации. А вирусами (и вообще компьютерами) абонентскими мы не занимаемся, если возникают какие-то спорные ситуации - приходим тестить со своим ноутбуком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Max P Опубликовано 14 июля, 2009 · Жалоба больше похоже на битый кабель, проверьте линк-тестером, у нас обычно мак-адрес если на порту скачет - значит 99% кривой обжим, ну и плюс проверка на ошибки на порту Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROv Опубликовано 14 июля, 2009 · Жалоба больше похоже на битый кабель, проверьте линк-тестером, у нас обычно мак-адрес если на порту скачет - значит 99% кривой обжим, ну и плюс проверка на ошибки на портурозкажу поподробнее: вся сеть в диапазоне 192.168.10.1-192.168.100.255 выдача ip идет по привязке к mac адресу хоста в дхцп, шлюз 192.168.10.1 в ядре системы стоит d-link des 3828 в режиме свича с настроенными acl на каждый порт. Еще в одной точке стоит des 3550. Посмотреть какой ip весит на каком порту в 3828 не получается как я понял из-за не прохождение трафика через ipif свича. Вырубаем подряд все порты на где 0.1 перестает пингоавться значит он в этой подсети - ищим его там. Но вот в чем прикол 0.1 пингуется на 3-х подсетях поочереди то есть потушил 192.168.18.1-255 пропал 2-3 минуты и он появляется на другом порту 192.168.11.1-255 как такое обяснить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
itl2044 Опубликовано 14 июля, 2009 · Жалоба Похоже, у Вас в сети есть НЕСКОЛЬКО wi-fi-мыльниц у абонентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 15 июля, 2009 · Жалоба Посмотреть какой ip весит на каком порту в 3828 не получается как я понял из-за не прохождение трафика через ipif свича. sh ipfdb Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PROv Опубликовано 15 июля, 2009 · Жалоба Похоже, у Вас в сети есть НЕСКОЛЬКО wi-fi-мыльниц у абонентов. да и не одна точка порядка 20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...