ASM16d Posted August 27, 2009 Posted August 27, 2009 Задача заключается в следующем: необходимо мониторить появление в сети сканеров, которые выполняют ARP-запросы на большое количество компьютеров (для мониторинга вирусной активности). Подскажите решение для реализации? Вставить ник Quote
terrible Posted August 27, 2009 Posted August 27, 2009 а зачем мониторить? может быть лучше предотвратить? Вставить ник Quote
ASM16d Posted August 27, 2009 Author Posted August 27, 2009 для того и мониторим, чтобы предотвратить.. чтобы вылечить, нужно сначала найти.. а руками в сети на 10000 пользователей не очень то просто... Вставить ник Quote
ASM16d Posted August 27, 2009 Author Posted August 27, 2009 на доступе что стоит?не понял вопроса..если спрашиваете про ОС, то Linux Вставить ник Quote
satboy Posted August 27, 2009 Posted August 27, 2009 Спасибо, повеселили на ночь, своим доступом на LINUX Вставить ник Quote
nuclearcat Posted August 28, 2009 Posted August 28, 2009 satboy - а что смешного? У всех понятие доступа разное. Вставить ник Quote
shicoy Posted August 28, 2009 Posted August 28, 2009 Было бы хорошо, если бы вы привели структурную схему сети. Вставить ник Quote
ASM16d Posted August 28, 2009 Author Posted August 28, 2009 Сеть управляемая, Привязки IP-MAC сделаны. Но это не спасает, т.к. пользователи сканируют все компы в сети и заражают. Нужен инструмент, который бы оповещал о таких нарушителях, то есть если с одного компа сымлется много ARP-запросов, то он должен попасть в лог. satboy, я вас не понял. Вставить ник Quote
terrible Posted August 28, 2009 Posted August 28, 2009 (edited) в какие свичи запитаны абоненты? нужны конкретные модели пограничных коммутаторов если у вас гирлянда мыльниц - то разговаривать пока не о чем Edited August 28, 2009 by terrible Вставить ник Quote
ASM16d Posted August 28, 2009 Author Posted August 28, 2009 Ребята, вам не кажется, что вы из мухи слона раздуваете? Мне нужно просто средство для мониторинга ARP запросов. Какая разница какие свичи?? Вставить ник Quote
taric Posted August 28, 2009 Posted August 28, 2009 (edited) У нас юзают arpalert. Пишет в базу, наваяли веб морду. осталось с билингом завязать что-бы сразу лочил. Edited August 28, 2009 by taric Вставить ник Quote
shicoy Posted August 28, 2009 Posted August 28, 2009 Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки. Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту. Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно. ps. см в сторону snmptrapd+smptt Вставить ник Quote
XeonVs Posted August 28, 2009 Posted August 28, 2009 (edited) Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки.Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту. Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно. ps. см в сторону snmptrapd+smptt от некоторых arp-вирей не спасет, src-mac у них валидный. Edited August 28, 2009 by XeonVs Вставить ник Quote
terrible Posted August 29, 2009 Posted August 29, 2009 (edited) там сеть - гирлянда мыльниц (автор этого не говорил, но и не опровергал), какой notification? даже есть и есть кто-либо с нотификацией, что вы от неё получите? что вот на этом порту появился мак, потом исчез, потом другой появился. Никакой вменяемой информации по данному вопросу нотификация дать даже теоретически не может. Есть алгоритмы блокировки вирей на 100%, но к данной сети они не применимы. Edited August 29, 2009 by terrible Вставить ник Quote
Max P Posted August 29, 2009 Posted August 29, 2009 а если на 3526 вся сеть? есть вариант таких отслеживать средствами свича? Вставить ник Quote
shicoy Posted August 29, 2009 Posted August 29, 2009 от некоторых arp-вирей не спасет, src-mac у них валидный. в этом случае никак, только снятием dump трафика и анализом его. Вставить ник Quote
Bond Posted August 29, 2009 Posted August 29, 2009 Я не читал но когда топикстартер сказал 10000 юзеров и он незнает что такое на доступе то брехун брехуном. Вставить ник Quote
XeonVs Posted August 30, 2009 Posted August 30, 2009 есть у меня такой код вполне успешно обнаруживает одну из разновидностей arp-виря. Вставить ник Quote
Дегтярев Илья Posted August 30, 2009 Posted August 30, 2009 Эм. Решение бесплатно расказыть не стану, но у нас сегменты по /23 и никто не рассылает arpы с запросом не к шлюзу. Мало того, все вирусованные начинают фильтроваться по 445 порту еще до того, как успеют хоть к кому то залить вирус. Аналогично с рассылкой спама - 25 порт банится пользователю максимум через 1 минуту. Решение не зависит ни от свитчей, ни от схемы. Лишь бы пользователи по dhcp настройки получали (а не получив - arp inspect на ядре просто локалку не даст) Используется pbr на 65 циске. И виртуалка с pps через нее менее 100k (в сети на 10k абонентов). Попытавшийся просканить сеть автоматом получает бан на локалку на некоторое время и предупреждение в личном кабинете. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.