Jump to content
Калькуляторы

Мониторинг сканеров сети

Задача заключается в следующем: необходимо мониторить появление в сети сканеров, которые выполняют ARP-запросы на большое количество компьютеров (для мониторинга вирусной активности). Подскажите решение для реализации?

Share this post


Link to post
Share on other sites

а зачем мониторить?

может быть лучше предотвратить?

Share this post


Link to post
Share on other sites

для того и мониторим, чтобы предотвратить..

чтобы вылечить, нужно сначала найти.. а руками в сети на 10000 пользователей не очень то просто...

Share this post


Link to post
Share on other sites
на доступе что стоит?
не понял вопроса..

если спрашиваете про ОС, то Linux

Share this post


Link to post
Share on other sites

Спасибо, повеселили на ночь, своим доступом на LINUX

Share this post


Link to post
Share on other sites

Было бы хорошо, если бы вы привели структурную схему сети.

 

Share this post


Link to post
Share on other sites

Сеть управляемая, Привязки IP-MAC сделаны. Но это не спасает, т.к. пользователи сканируют все компы в сети и заражают. Нужен инструмент, который бы оповещал о таких нарушителях, то есть если с одного компа сымлется много ARP-запросов, то он должен попасть в лог.

satboy, я вас не понял.

Share this post


Link to post
Share on other sites

в какие свичи запитаны абоненты?

нужны конкретные модели пограничных коммутаторов

если у вас гирлянда мыльниц - то разговаривать пока не о чем

Edited by terrible

Share this post


Link to post
Share on other sites

Ребята, вам не кажется, что вы из мухи слона раздуваете? Мне нужно просто средство для мониторинга ARP запросов. Какая разница какие свичи??

Share this post


Link to post
Share on other sites

У нас юзают arpalert. Пишет в базу, наваяли веб морду. осталось с билингом завязать что-бы сразу лочил.

Edited by taric

Share this post


Link to post
Share on other sites

Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки.

Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту.

 

Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно.

 

ps. см в сторону snmptrapd+smptt

Share this post


Link to post
Share on other sites
Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки.

Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту.

 

Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно.

 

ps. см в сторону snmptrapd+smptt

от некоторых arp-вирей не спасет, src-mac у них валидный.
Edited by XeonVs

Share this post


Link to post
Share on other sites

там сеть - гирлянда мыльниц (автор этого не говорил, но и не опровергал), какой notification?

даже есть и есть кто-либо с нотификацией, что вы от неё получите? что вот на этом порту появился мак, потом исчез, потом другой появился. Никакой вменяемой информации по данному вопросу нотификация дать даже теоретически не может.

 

Есть алгоритмы блокировки вирей на 100%, но к данной сети они не применимы.

Edited by terrible

Share this post


Link to post
Share on other sites

а если на 3526 вся сеть? есть вариант таких отслеживать средствами свича?

Share this post


Link to post
Share on other sites

от некоторых arp-вирей не спасет, src-mac у них валидный.

в этом случае никак, только снятием dump трафика и анализом его.

Share this post


Link to post
Share on other sites

Я не читал но когда топикстартер сказал 10000 юзеров и он незнает что такое на доступе то брехун брехуном.

Share this post


Link to post
Share on other sites

есть у меня такой код

вполне успешно обнаруживает одну из разновидностей arp-виря.

Share this post


Link to post
Share on other sites

Эм. Решение бесплатно расказыть не стану, но у нас сегменты по /23 и никто не рассылает arpы с запросом не к шлюзу.

 

Мало того, все вирусованные начинают фильтроваться по 445 порту еще до того, как успеют хоть к кому то залить вирус.

Аналогично с рассылкой спама - 25 порт банится пользователю максимум через 1 минуту.

 

Решение не зависит ни от свитчей, ни от схемы. Лишь бы пользователи по dhcp настройки получали (а не получив - arp inspect на ядре просто локалку не даст)

 

Используется pbr на 65 циске. И виртуалка с pps через нее менее 100k (в сети на 10k абонентов).

Попытавшийся просканить сеть автоматом получает бан на локалку на некоторое время и предупреждение в личном кабинете.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this