Jump to content
Калькуляторы

Помогите найти флудера ARP Spoofing

Сеть на 400 компьютеров. Пользователи время от времени перестают видеть шлюз. Проблем нет только у тех, кто установил программу AntiSpoof с параметрами:

 

[Entry_0]

IPAddress=192.168.0.215

MACAddress=00:16:e6:d8:1c:09

 

Сеть в большинстве на неуправляемом оборудовании, досталась в наследство. Пытался снифать трафик Wireshark'ом, но понять кто именно фдудит не могу.

 

С завтрашнего дня будем выдавать в офисе DrWeb Live CD и AntiSpoof. Но флудера поймать тем не менее нужно.

 

Как его эффективно поймать?

Share this post


Link to post
Share on other sites

аналогичные проблемы были,есть и уверен будут!только сеть ещё больше!управляемых свичей с 3 десятка всего ,а тупых 300 наверно!

 

Скажу одно,это может и не юзер,а просто заглючить тупой свич.Тупо идти по магистрали и вычилсять........

 

 

П.С. Вот сижу щас в офисе,бегает ремонтная бригада и не могет понять кто ещё в сетки раздаёт ипы.....

Share this post


Link to post
Share on other sites

Ну у нас точно юзер. Мы DHCP не юзаем специально, чтобы не было проблемы левых DHCP. У нас кто-то юзает ARP SPOOFING. Скорее всего вирус или снифер в активном режиме. Если бы было не так, то программа AntiSpoof людям бы не помогла.

 

И если с ноутбуком бегать вычислять, то по какому алгоритму? может час ничего не отваливаться, потом сервер не видно... потом снова норм... потом опять отвалилось минут на 15.... потом два часа без проблем.

 

Share this post


Link to post
Share on other sites

на тупых свичах будете очень долго искать. Разоритесь и купите хотя-бы DES-3526, по таблице маков быстро найдёте негодяя, да и в будущем пригодится

Share this post


Link to post
Share on other sites

топология сети какая?кишка наверно?если есть хоть немножо управлчяемых свичей,то разбейте сетку по подсетям и сдеайте мониторинг сетки,какая подсеть висит там и ищите.НО блин это куча замарочек опять же.......всю сеть подымать......

 

П.С кароче бес умного оборудования ппц как туго..........

Share this post


Link to post
Share on other sites

А как действовать с DES-3526? Объясните пожалуйста. Как можно более подробно. Куда его установить (или с ним по крышам ходить). И так далее.

 

Топология сети: нет сегментации. Как сделать сегментацию если есть штук 20 Compex 16 портовых управляемых.

Share this post


Link to post
Share on other sites

что за компакс????модель???

Share this post


Link to post
Share on other sites

Это не умный а палаумный свич))))))) нужно посерьёзней!

Share this post


Link to post
Share on other sites

ну у нас это самые умные из того, что есть)))

бродил с ноутбуком по крышам сейчас, почти нашёл флудера, завтра продолжу

Share this post


Link to post
Share on other sites
Куда его установить (или с ним по крышам ходить). И так далее.
в центр, и чем больше аплинков будет в нём концентрироваться - тем лучше.

 

или по крышам ходить

поиск: включаем IP-MAC Binding на портах, находим порт, на котором вылезает:

IPAddress=192.168.0.215

MACAddress=00:16:e6:d8:1c:09

идём дальше по топологии вместе со свичом

 

я бы на вашем месте делал бы именно так

Share this post


Link to post
Share on other sites

Просто вычислить кто флудит можно arpwatch-ем. Что-бы все более и менее работали, пока вы вычисляете, поставьте ip-sentinel, в его конфиге привяжите ip к маку шлюза.

Share this post


Link to post
Share on other sites

terrible, не до конца понял идею, можно подробнее?

 

SmokerMan, интернет раздаём с ТрафикИнспектора под Win2003.

 

a_andry,

Вместо arpwatch подойдёт arp-monitor?

http://blog.kmint21.com/2008/03/12/arp-monitor

 

я пока загуглю по теме

Share this post


Link to post
Share on other sites
terrible, не до конца понял идею, можно подробнее?
берём свич, устанавливаем порты 1-24 в режим IP-MAC-Binding, приходим на одну из точек, втыкаем аплинки, по логам видим, откуда у нас пришёл блок по заданному IP-MAC, получаем нужный нам аплинк и направление, куда идти дальше

 

в случае установки в центре, там есть волшебная фича под названием ARP Spoofing Prevention, в вашем случае будет очень полезна

Share this post


Link to post
Share on other sites

Флуд нейтрализован. Источником помех оказался неуправляемый свитч Asus, подгоревший после грозы. Всем спасибо!

Share this post


Link to post
Share on other sites

чую в следующюю грозу автор опять будет долго и муторно искать сгоревший свич.....

Share this post


Link to post
Share on other sites

А как сегментацию правильно организовать? В центре умную железку поставить на пересечении главных магистралей?

Share this post


Link to post
Share on other sites

да, на нее все сводить, побить сеть на vlan, в каждом своя адресация, маршрутизировать их сервером/L3-свичом. Сервер/свич покажет, в каком vlan спуфинг идет.

Share this post


Link to post
Share on other sites

После одной из гроз порт у свитча прикольно подгорел. кабель не воткнут - все работает. Втыкаешь кабель (комп у клиента выключен, линк на нормальном порту не поднимается) - свитч начинает так флудить, что вся сеть ложится. и управляемые длинки 3028 и 2108 ну никак не помогали

Share this post


Link to post
Share on other sites
Heggi, нам почему-то помогают, а вам нет, хм... странно

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this