Перейти к содержимому
Калькуляторы

Помогите найти флудера ARP Spoofing

Сеть на 400 компьютеров. Пользователи время от времени перестают видеть шлюз. Проблем нет только у тех, кто установил программу AntiSpoof с параметрами:

 

[Entry_0]

IPAddress=192.168.0.215

MACAddress=00:16:e6:d8:1c:09

 

Сеть в большинстве на неуправляемом оборудовании, досталась в наследство. Пытался снифать трафик Wireshark'ом, но понять кто именно фдудит не могу.

 

С завтрашнего дня будем выдавать в офисе DrWeb Live CD и AntiSpoof. Но флудера поймать тем не менее нужно.

 

Как его эффективно поймать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

аналогичные проблемы были,есть и уверен будут!только сеть ещё больше!управляемых свичей с 3 десятка всего ,а тупых 300 наверно!

 

Скажу одно,это может и не юзер,а просто заглючить тупой свич.Тупо идти по магистрали и вычилсять........

 

 

П.С. Вот сижу щас в офисе,бегает ремонтная бригада и не могет понять кто ещё в сетки раздаёт ипы.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну у нас точно юзер. Мы DHCP не юзаем специально, чтобы не было проблемы левых DHCP. У нас кто-то юзает ARP SPOOFING. Скорее всего вирус или снифер в активном режиме. Если бы было не так, то программа AntiSpoof людям бы не помогла.

 

И если с ноутбуком бегать вычислять, то по какому алгоритму? может час ничего не отваливаться, потом сервер не видно... потом снова норм... потом опять отвалилось минут на 15.... потом два часа без проблем.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на тупых свичах будете очень долго искать. Разоритесь и купите хотя-бы DES-3526, по таблице маков быстро найдёте негодяя, да и в будущем пригодится

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

топология сети какая?кишка наверно?если есть хоть немножо управлчяемых свичей,то разбейте сетку по подсетям и сдеайте мониторинг сетки,какая подсеть висит там и ищите.НО блин это куча замарочек опять же.......всю сеть подымать......

 

П.С кароче бес умного оборудования ппц как туго..........

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как действовать с DES-3526? Объясните пожалуйста. Как можно более подробно. Куда его установить (или с ним по крышам ходить). И так далее.

 

Топология сети: нет сегментации. Как сделать сегментацию если есть штук 20 Compex 16 портовых управляемых.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это не умный а палаумный свич))))))) нужно посерьёзней!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну у нас это самые умные из того, что есть)))

бродил с ноутбуком по крышам сейчас, почти нашёл флудера, завтра продолжу

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Куда его установить (или с ним по крышам ходить). И так далее.
в центр, и чем больше аплинков будет в нём концентрироваться - тем лучше.

 

или по крышам ходить

поиск: включаем IP-MAC Binding на портах, находим порт, на котором вылезает:

IPAddress=192.168.0.215

MACAddress=00:16:e6:d8:1c:09

идём дальше по топологии вместе со свичом

 

я бы на вашем месте делал бы именно так

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы интернет как раздаете?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто вычислить кто флудит можно arpwatch-ем. Что-бы все более и менее работали, пока вы вычисляете, поставьте ip-sentinel, в его конфиге привяжите ip к маку шлюза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

terrible, не до конца понял идею, можно подробнее?

 

SmokerMan, интернет раздаём с ТрафикИнспектора под Win2003.

 

a_andry,

Вместо arpwatch подойдёт arp-monitor?

http://blog.kmint21.com/2008/03/12/arp-monitor

 

я пока загуглю по теме

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

terrible, не до конца понял идею, можно подробнее?
берём свич, устанавливаем порты 1-24 в режим IP-MAC-Binding, приходим на одну из точек, втыкаем аплинки, по логам видим, откуда у нас пришёл блок по заданному IP-MAC, получаем нужный нам аплинк и направление, куда идти дальше

 

в случае установки в центре, там есть волшебная фича под названием ARP Spoofing Prevention, в вашем случае будет очень полезна

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Флуд нейтрализован. Источником помех оказался неуправляемый свитч Asus, подгоревший после грозы. Всем спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

чую в следующюю грозу автор опять будет долго и муторно искать сгоревший свич.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как сегментацию правильно организовать? В центре умную железку поставить на пересечении главных магистралей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, на нее все сводить, побить сеть на vlan, в каждом своя адресация, маршрутизировать их сервером/L3-свичом. Сервер/свич покажет, в каком vlan спуфинг идет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

После одной из гроз порт у свитча прикольно подгорел. кабель не воткнут - все работает. Втыкаешь кабель (комп у клиента выключен, линк на нормальном порту не поднимается) - свитч начинает так флудить, что вся сеть ложится. и управляемые длинки 3028 и 2108 ну никак не помогали

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Heggi, нам почему-то помогают, а вам нет, хм... странно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.