Перейти к содержимому
Калькуляторы

Мониторинг сканеров сети

Задача заключается в следующем: необходимо мониторить появление в сети сканеров, которые выполняют ARP-запросы на большое количество компьютеров (для мониторинга вирусной активности). Подскажите решение для реализации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а зачем мониторить?

может быть лучше предотвратить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для того и мониторим, чтобы предотвратить..

чтобы вылечить, нужно сначала найти.. а руками в сети на 10000 пользователей не очень то просто...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на доступе что стоит?
не понял вопроса..

если спрашиваете про ОС, то Linux

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

satboy - а что смешного? У всех понятие доступа разное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Было бы хорошо, если бы вы привели структурную схему сети.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сеть управляемая, Привязки IP-MAC сделаны. Но это не спасает, т.к. пользователи сканируют все компы в сети и заражают. Нужен инструмент, который бы оповещал о таких нарушителях, то есть если с одного компа сымлется много ARP-запросов, то он должен попасть в лог.

satboy, я вас не понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в какие свичи запитаны абоненты?

нужны конкретные модели пограничных коммутаторов

если у вас гирлянда мыльниц - то разговаривать пока не о чем

Изменено пользователем terrible

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребята, вам не кажется, что вы из мухи слона раздуваете? Мне нужно просто средство для мониторинга ARP запросов. Какая разница какие свичи??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас юзают arpalert. Пишет в базу, наваяли веб морду. осталось с билингом завязать что-бы сразу лочил.

Изменено пользователем taric

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки.

Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту.

 

Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно.

 

ps. см в сторону snmptrapd+smptt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Настройте MAC Notification или если есть привязка IP-MAC соотвественно есть trap который ругается в случае невалидности этой привяки.

Дальше дело техники, ловите откуда идут много таких трапов и лочите абонента по порту.

 

Не можете ловить трапы, учитесь. К сожалению софта на все случае жизни нет, но есть кубики из которых можно собрать почти все что угодно.

 

ps. см в сторону snmptrapd+smptt

от некоторых arp-вирей не спасет, src-mac у них валидный.
Изменено пользователем XeonVs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

там сеть - гирлянда мыльниц (автор этого не говорил, но и не опровергал), какой notification?

даже есть и есть кто-либо с нотификацией, что вы от неё получите? что вот на этом порту появился мак, потом исчез, потом другой появился. Никакой вменяемой информации по данному вопросу нотификация дать даже теоретически не может.

 

Есть алгоритмы блокировки вирей на 100%, но к данной сети они не применимы.

Изменено пользователем terrible

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а если на 3526 вся сеть? есть вариант таких отслеживать средствами свича?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

от некоторых arp-вирей не спасет, src-mac у них валидный.

в этом случае никак, только снятием dump трафика и анализом его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я не читал но когда топикстартер сказал 10000 юзеров и он незнает что такое на доступе то брехун брехуном.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть у меня такой код

вполне успешно обнаруживает одну из разновидностей arp-виря.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эм. Решение бесплатно расказыть не стану, но у нас сегменты по /23 и никто не рассылает arpы с запросом не к шлюзу.

 

Мало того, все вирусованные начинают фильтроваться по 445 порту еще до того, как успеют хоть к кому то залить вирус.

Аналогично с рассылкой спама - 25 порт банится пользователю максимум через 1 минуту.

 

Решение не зависит ни от свитчей, ни от схемы. Лишь бы пользователи по dhcp настройки получали (а не получив - arp inspect на ядре просто локалку не даст)

 

Используется pbr на 65 циске. И виртуалка с pps через нее менее 100k (в сети на 10k абонентов).

Попытавшийся просканить сеть автоматом получает бан на локалку на некоторое время и предупреждение в личном кабинете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.