[ASM16d]

Задача заключается в следующем: необходимо мониторить появление в сети сканеров, которые выполняют ARP-запросы на большое количество компьютеров (для мониторинга вирусной активности). Подскажите решение для реализации?

[terrible]

а зачем мониторить?

может быть лучше предотвратить?

[ASM16d]

для того и мониторим, чтобы предотвратить..

чтобы вылечить, нужно сначала найти.. а руками в сети на 10000 пользователей не очень то просто...

[terrible]

на доступе что стоит?

[ASM16d]

на доступе что стоит?

не понял вопроса..

если спрашиваете про ОС, то Linux

[satboy]

Спасибо, повеселили на ночь, своим доступом на LINUX

[nuclearcat]

satboy - а что смешного? У всех понятие доступа разное.

[shicoy]

Было бы хорошо, если бы вы привели структурную схему сети.

 

[ASM16d]

Сеть управляемая, Привязки IP-MAC сделаны. Но это не спасает, т.к. пользователи сканируют все компы в сети и заражают. Нужен инструмент, который бы оповещал о таких нарушителях, то есть если с одного компа сымлется много ARP-запросов, то он должен попасть в лог.

satboy, я вас не понял.

[terrible]

в какие свичи запитаны абоненты?

нужны конкретные модели пограничных коммутаторов

если у вас гирлянда мыльниц - то разговаривать пока не о чем

Edited August 28, 2009 by terrible

[ASM16d]

Ребята, вам не кажется, что вы из мухи слона раздуваете? Мне нужно просто средство для мониторинга ARP запросов. Какая разница какие свичи??

[terrible]

Comm View

[taric]

У нас юзают arpalert. Пишет в базу, наваяли веб морду. осталось с билингом завязать что-бы сразу лочил.

Edited August 28, 2009 by taric

[shicoy]

Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки.

Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту.

 

Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно.

 

ps. см в сторону snmptrapd+smptt

[XeonVs]

Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки.

Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту.

 

Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно.

 

ps. см в сторону snmptrapd+smptt

от некоторых arp-вирей не спасет, src-mac у них валидный.

Edited August 28, 2009 by XeonVs

[terrible]

там сеть - гирлянда мыльниц (автор этого не говорил, но и не опровергал), какой notification?

даже есть и есть кто-либо с нотификацией, что вы от неё получите? что вот на этом порту появился мак, потом исчез, потом другой появился. Никакой вменяемой информации по данному вопросу нотификация дать даже теоретически не может.

 

Есть алгоритмы блокировки вирей на 100%, но к данной сети они не применимы.

Edited August 29, 2009 by terrible

[Max P]

а если на 3526 вся сеть? есть вариант таких отслеживать средствами свича?

[shicoy]

от некоторых arp-вирей не спасет, src-mac у них валидный.

в этом случае никак, только снятием dump трафика и анализом его.

[Bond]

Я не читал но когда топикстартер сказал 10000 юзеров и он незнает что такое на доступе то брехун брехуном.

[XeonVs]

есть у меня такой код

вполне успешно обнаруживает одну из разновидностей arp-виря.

[Дегтярев Илья]

Эм. Решение бесплатно расказыть не стану, но у нас сегменты по /23 и никто не рассылает arpы с запросом не к шлюзу.

 

Мало того, все вирусованные начинают фильтроваться по 445 порту еще до того, как успеют хоть к кому то залить вирус.

Аналогично с рассылкой спама - 25 порт банится пользователю максимум через 1 минуту.

 

Решение не зависит ни от свитчей, ни от схемы. Лишь бы пользователи по dhcp настройки получали (а не получив - arp inspect на ядре просто локалку не даст)

 

Используется pbr на 65 циске. И виртуалка с pps через нее менее 100k (в сети на 10k абонентов).

Попытавшийся просканить сеть автоматом получает бан на локалку на некоторое время и предупреждение в личном кабинете.