Витайлий МР Опубликовано 27 июля, 2009 · Жалоба Сеть на 400 компьютеров. Пользователи время от времени перестают видеть шлюз. Проблем нет только у тех, кто установил программу AntiSpoof с параметрами: [Entry_0] IPAddress=192.168.0.215 MACAddress=00:16:e6:d8:1c:09 Сеть в большинстве на неуправляемом оборудовании, досталась в наследство. Пытался снифать трафик Wireshark'ом, но понять кто именно фдудит не могу. С завтрашнего дня будем выдавать в офисе DrWeb Live CD и AntiSpoof. Но флудера поймать тем не менее нужно. Как его эффективно поймать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mk13 Опубликовано 27 июля, 2009 · Жалоба аналогичные проблемы были,есть и уверен будут!только сеть ещё больше!управляемых свичей с 3 десятка всего ,а тупых 300 наверно! Скажу одно,это может и не юзер,а просто заглючить тупой свич.Тупо идти по магистрали и вычилсять........ П.С. Вот сижу щас в офисе,бегает ремонтная бригада и не могет понять кто ещё в сетки раздаёт ипы..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 27 июля, 2009 · Жалоба Ну у нас точно юзер. Мы DHCP не юзаем специально, чтобы не было проблемы левых DHCP. У нас кто-то юзает ARP SPOOFING. Скорее всего вирус или снифер в активном режиме. Если бы было не так, то программа AntiSpoof людям бы не помогла. И если с ноутбуком бегать вычислять, то по какому алгоритму? может час ничего не отваливаться, потом сервер не видно... потом снова норм... потом опять отвалилось минут на 15.... потом два часа без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 27 июля, 2009 · Жалоба на тупых свичах будете очень долго искать. Разоритесь и купите хотя-бы DES-3526, по таблице маков быстро найдёте негодяя, да и в будущем пригодится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mk13 Опубликовано 27 июля, 2009 · Жалоба топология сети какая?кишка наверно?если есть хоть немножо управлчяемых свичей,то разбейте сетку по подсетям и сдеайте мониторинг сетки,какая подсеть висит там и ищите.НО блин это куча замарочек опять же.......всю сеть подымать...... П.С кароче бес умного оборудования ппц как туго.......... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 27 июля, 2009 · Жалоба А как действовать с DES-3526? Объясните пожалуйста. Как можно более подробно. Куда его установить (или с ним по крышам ходить). И так далее. Топология сети: нет сегментации. Как сделать сегментацию если есть штук 20 Compex 16 портовых управляемых. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mk13 Опубликовано 27 июля, 2009 · Жалоба что за компакс????модель??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 27 июля, 2009 · Жалоба Compex PS 2216 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mk13 Опубликовано 27 июля, 2009 · Жалоба Это не умный а палаумный свич))))))) нужно посерьёзней! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 27 июля, 2009 · Жалоба ну у нас это самые умные из того, что есть))) бродил с ноутбуком по крышам сейчас, почти нашёл флудера, завтра продолжу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 28 июля, 2009 · Жалоба Куда его установить (или с ним по крышам ходить). И так далее.в центр, и чем больше аплинков будет в нём концентрироваться - тем лучше. или по крышам ходить поиск: включаем IP-MAC Binding на портах, находим порт, на котором вылезает: IPAddress=192.168.0.215 MACAddress=00:16:e6:d8:1c:09 идём дальше по топологии вместе со свичом я бы на вашем месте делал бы именно так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 28 июля, 2009 · Жалоба А вы интернет как раздаете?.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a_andry Опубликовано 28 июля, 2009 · Жалоба Просто вычислить кто флудит можно arpwatch-ем. Что-бы все более и менее работали, пока вы вычисляете, поставьте ip-sentinel, в его конфиге привяжите ip к маку шлюза. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 28 июля, 2009 · Жалоба terrible, не до конца понял идею, можно подробнее? SmokerMan, интернет раздаём с ТрафикИнспектора под Win2003. a_andry, Вместо arpwatch подойдёт arp-monitor? http://blog.kmint21.com/2008/03/12/arp-monitor я пока загуглю по теме Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 28 июля, 2009 · Жалоба terrible, не до конца понял идею, можно подробнее?берём свич, устанавливаем порты 1-24 в режим IP-MAC-Binding, приходим на одну из точек, втыкаем аплинки, по логам видим, откуда у нас пришёл блок по заданному IP-MAC, получаем нужный нам аплинк и направление, куда идти дальше в случае установки в центре, там есть волшебная фича под названием ARP Spoofing Prevention, в вашем случае будет очень полезна Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 28 июля, 2009 · Жалоба Флуд нейтрализован. Источником помех оказался неуправляемый свитч Asus, подгоревший после грозы. Всем спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 28 июля, 2009 · Жалоба чую в следующюю грозу автор опять будет долго и муторно искать сгоревший свич..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 28 июля, 2009 · Жалоба А как сегментацию правильно организовать? В центре умную железку поставить на пересечении главных магистралей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 28 июля, 2009 · Жалоба да, на нее все сводить, побить сеть на vlan, в каждом своя адресация, маршрутизировать их сервером/L3-свичом. Сервер/свич покажет, в каком vlan спуфинг идет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 29 июля, 2009 · Жалоба После одной из гроз порт у свитча прикольно подгорел. кабель не воткнут - все работает. Втыкаешь кабель (комп у клиента выключен, линк на нормальном порту не поднимается) - свитч начинает так флудить, что вся сеть ложится. и управляемые длинки 3028 и 2108 ну никак не помогали Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 29 июля, 2009 · Жалоба Heggi, нам почему-то помогают, а вам нет, хм... странно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...