Витайлий МР Posted July 27, 2009 Posted July 27, 2009 Сеть на 400 компьютеров. Пользователи время от времени перестают видеть шлюз. Проблем нет только у тех, кто установил программу AntiSpoof с параметрами: [Entry_0] IPAddress=192.168.0.215 MACAddress=00:16:e6:d8:1c:09 Сеть в большинстве на неуправляемом оборудовании, досталась в наследство. Пытался снифать трафик Wireshark'ом, но понять кто именно фдудит не могу. С завтрашнего дня будем выдавать в офисе DrWeb Live CD и AntiSpoof. Но флудера поймать тем не менее нужно. Как его эффективно поймать? Вставить ник Quote
mk13 Posted July 27, 2009 Posted July 27, 2009 аналогичные проблемы были,есть и уверен будут!только сеть ещё больше!управляемых свичей с 3 десятка всего ,а тупых 300 наверно! Скажу одно,это может и не юзер,а просто заглючить тупой свич.Тупо идти по магистрали и вычилсять........ П.С. Вот сижу щас в офисе,бегает ремонтная бригада и не могет понять кто ещё в сетки раздаёт ипы..... Вставить ник Quote
Витайлий МР Posted July 27, 2009 Author Posted July 27, 2009 Ну у нас точно юзер. Мы DHCP не юзаем специально, чтобы не было проблемы левых DHCP. У нас кто-то юзает ARP SPOOFING. Скорее всего вирус или снифер в активном режиме. Если бы было не так, то программа AntiSpoof людям бы не помогла. И если с ноутбуком бегать вычислять, то по какому алгоритму? может час ничего не отваливаться, потом сервер не видно... потом снова норм... потом опять отвалилось минут на 15.... потом два часа без проблем. Вставить ник Quote
terrible Posted July 27, 2009 Posted July 27, 2009 на тупых свичах будете очень долго искать. Разоритесь и купите хотя-бы DES-3526, по таблице маков быстро найдёте негодяя, да и в будущем пригодится Вставить ник Quote
mk13 Posted July 27, 2009 Posted July 27, 2009 топология сети какая?кишка наверно?если есть хоть немножо управлчяемых свичей,то разбейте сетку по подсетям и сдеайте мониторинг сетки,какая подсеть висит там и ищите.НО блин это куча замарочек опять же.......всю сеть подымать...... П.С кароче бес умного оборудования ппц как туго.......... Вставить ник Quote
Витайлий МР Posted July 27, 2009 Author Posted July 27, 2009 А как действовать с DES-3526? Объясните пожалуйста. Как можно более подробно. Куда его установить (или с ним по крышам ходить). И так далее. Топология сети: нет сегментации. Как сделать сегментацию если есть штук 20 Compex 16 портовых управляемых. Вставить ник Quote
mk13 Posted July 27, 2009 Posted July 27, 2009 Это не умный а палаумный свич))))))) нужно посерьёзней! Вставить ник Quote
Витайлий МР Posted July 27, 2009 Author Posted July 27, 2009 ну у нас это самые умные из того, что есть))) бродил с ноутбуком по крышам сейчас, почти нашёл флудера, завтра продолжу Вставить ник Quote
terrible Posted July 28, 2009 Posted July 28, 2009 Куда его установить (или с ним по крышам ходить). И так далее.в центр, и чем больше аплинков будет в нём концентрироваться - тем лучше. или по крышам ходить поиск: включаем IP-MAC Binding на портах, находим порт, на котором вылезает: IPAddress=192.168.0.215 MACAddress=00:16:e6:d8:1c:09 идём дальше по топологии вместе со свичом я бы на вашем месте делал бы именно так Вставить ник Quote
a_andry Posted July 28, 2009 Posted July 28, 2009 Просто вычислить кто флудит можно arpwatch-ем. Что-бы все более и менее работали, пока вы вычисляете, поставьте ip-sentinel, в его конфиге привяжите ip к маку шлюза. Вставить ник Quote
Витайлий МР Posted July 28, 2009 Author Posted July 28, 2009 terrible, не до конца понял идею, можно подробнее? SmokerMan, интернет раздаём с ТрафикИнспектора под Win2003. a_andry, Вместо arpwatch подойдёт arp-monitor? http://blog.kmint21.com/2008/03/12/arp-monitor я пока загуглю по теме Вставить ник Quote
terrible Posted July 28, 2009 Posted July 28, 2009 terrible, не до конца понял идею, можно подробнее?берём свич, устанавливаем порты 1-24 в режим IP-MAC-Binding, приходим на одну из точек, втыкаем аплинки, по логам видим, откуда у нас пришёл блок по заданному IP-MAC, получаем нужный нам аплинк и направление, куда идти дальше в случае установки в центре, там есть волшебная фича под названием ARP Spoofing Prevention, в вашем случае будет очень полезна Вставить ник Quote
Витайлий МР Posted July 28, 2009 Author Posted July 28, 2009 Флуд нейтрализован. Источником помех оказался неуправляемый свитч Asus, подгоревший после грозы. Всем спасибо! Вставить ник Quote
terrible Posted July 28, 2009 Posted July 28, 2009 чую в следующюю грозу автор опять будет долго и муторно искать сгоревший свич..... Вставить ник Quote
Витайлий МР Posted July 28, 2009 Author Posted July 28, 2009 А как сегментацию правильно организовать? В центре умную железку поставить на пересечении главных магистралей? Вставить ник Quote
mikevlz Posted July 28, 2009 Posted July 28, 2009 да, на нее все сводить, побить сеть на vlan, в каждом своя адресация, маршрутизировать их сервером/L3-свичом. Сервер/свич покажет, в каком vlan спуфинг идет. Вставить ник Quote
Heggi Posted July 29, 2009 Posted July 29, 2009 После одной из гроз порт у свитча прикольно подгорел. кабель не воткнут - все работает. Втыкаешь кабель (комп у клиента выключен, линк на нормальном порту не поднимается) - свитч начинает так флудить, что вся сеть ложится. и управляемые длинки 3028 и 2108 ну никак не помогали Вставить ник Quote
terrible Posted July 29, 2009 Posted July 29, 2009 Heggi, нам почему-то помогают, а вам нет, хм... странно Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.