ASM16d Опубликовано 27 августа, 2009 · Жалоба Задача заключается в следующем: необходимо мониторить появление в сети сканеров, которые выполняют ARP-запросы на большое количество компьютеров (для мониторинга вирусной активности). Подскажите решение для реализации? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 27 августа, 2009 · Жалоба а зачем мониторить? может быть лучше предотвратить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ASM16d Опубликовано 27 августа, 2009 · Жалоба для того и мониторим, чтобы предотвратить.. чтобы вылечить, нужно сначала найти.. а руками в сети на 10000 пользователей не очень то просто... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 27 августа, 2009 · Жалоба на доступе что стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ASM16d Опубликовано 27 августа, 2009 · Жалоба на доступе что стоит?не понял вопроса..если спрашиваете про ОС, то Linux Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
satboy Опубликовано 27 августа, 2009 · Жалоба Спасибо, повеселили на ночь, своим доступом на LINUX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 28 августа, 2009 · Жалоба satboy - а что смешного? У всех понятие доступа разное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 28 августа, 2009 · Жалоба Было бы хорошо, если бы вы привели структурную схему сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ASM16d Опубликовано 28 августа, 2009 · Жалоба Сеть управляемая, Привязки IP-MAC сделаны. Но это не спасает, т.к. пользователи сканируют все компы в сети и заражают. Нужен инструмент, который бы оповещал о таких нарушителях, то есть если с одного компа сымлется много ARP-запросов, то он должен попасть в лог. satboy, я вас не понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 28 августа, 2009 (изменено) · Жалоба в какие свичи запитаны абоненты? нужны конкретные модели пограничных коммутаторов если у вас гирлянда мыльниц - то разговаривать пока не о чем Изменено 28 августа, 2009 пользователем terrible Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ASM16d Опубликовано 28 августа, 2009 · Жалоба Ребята, вам не кажется, что вы из мухи слона раздуваете? Мне нужно просто средство для мониторинга ARP запросов. Какая разница какие свичи?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 28 августа, 2009 · Жалоба Comm View Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taric Опубликовано 28 августа, 2009 (изменено) · Жалоба У нас юзают arpalert. Пишет в базу, наваяли веб морду. осталось с билингом завязать что-бы сразу лочил. Изменено 28 августа, 2009 пользователем taric Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 28 августа, 2009 · Жалоба Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки. Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту. Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно. ps. см в сторону snmptrapd+smptt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 28 августа, 2009 (изменено) · Жалоба Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки.Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту. Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно. ps. см в сторону snmptrapd+smptt от некоторых arp-вирей не спасет, src-mac у них валидный. Изменено 28 августа, 2009 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 29 августа, 2009 (изменено) · Жалоба там сеть - гирлянда мыльниц (автор этого не говорил, но и не опровергал), какой notification? даже есть и есть кто-либо с нотификацией, что вы от неё получите? что вот на этом порту появился мак, потом исчез, потом другой появился. Никакой вменяемой информации по данному вопросу нотификация дать даже теоретически не может. Есть алгоритмы блокировки вирей на 100%, но к данной сети они не применимы. Изменено 29 августа, 2009 пользователем terrible Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Max P Опубликовано 29 августа, 2009 · Жалоба а если на 3526 вся сеть? есть вариант таких отслеживать средствами свича? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 29 августа, 2009 · Жалоба от некоторых arp-вирей не спасет, src-mac у них валидный. в этом случае никак, только снятием dump трафика и анализом его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bond Опубликовано 29 августа, 2009 · Жалоба Я не читал но когда топикстартер сказал 10000 юзеров и он незнает что такое на доступе то брехун брехуном. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 30 августа, 2009 · Жалоба есть у меня такой код вполне успешно обнаруживает одну из разновидностей arp-виря. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 30 августа, 2009 · Жалоба Эм. Решение бесплатно расказыть не стану, но у нас сегменты по /23 и никто не рассылает arpы с запросом не к шлюзу. Мало того, все вирусованные начинают фильтроваться по 445 порту еще до того, как успеют хоть к кому то залить вирус. Аналогично с рассылкой спама - 25 порт банится пользователю максимум через 1 минуту. Решение не зависит ни от свитчей, ни от схемы. Лишь бы пользователи по dhcp настройки получали (а не получив - arp inspect на ядре просто локалку не даст) Используется pbr на 65 циске. И виртуалка с pps через нее менее 100k (в сети на 10k абонентов). Попытавшийся просканить сеть автоматом получает бан на локалку на некоторое время и предупреждение в личном кабинете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...