Смена части мак адреса 5 раз в секунду и более.

[SIM-SIM]

Происходит подобное:

895 2009-11-13, 21:16:19 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-23-D9>, Port<9>)

894 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8F-93>, Port<9>)

893 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-46-92>, Port<9>)

892 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-E4-40>, Port<9>)

891 2009-11-13, 21:16:16 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-4C-46>, Port<9>)

890 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-1F-54>, Port<9>)

889 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-D3-01>, Port<9>)

888 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8D-BD>, Port<9>)

887 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8A-F3>, Port<9>)

886 2009-11-13, 21:16:01 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-21-AD>, Port<9>)

 

1) Смена происходит так что у абонента в тот момент всё идеально работает и по старой связке ип + мак абонент доступен, а коммутатор блокирует только новую связку, выходит какбы данные адреса виртуальные и висят на том же устройстве.

2) В течении одной секунды может быть 5 и более смен мак адресов.

3) Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразы.

4) Данная проблема также загадочно исчезает как и появляется.

5) Из замеченного несколько таких абонентов на одном неуправляемом коммутаторе и он зависает напроч, если быть точным то всё же работает но пропускает примерно 1пинг из 100 и то не ковсем абонентам, избирательность ккому пропускать тот один из 100, а кому нет так и не ясна. Но вышестоящий управляемый коммутатор видит все ип и мак адреса за умершей мыльницей, ходя ни один из адресов не доступны(Предположительно изза переполнения мак таблицы в мыльнице)Коммутатору не легчает до перезагрузки по питанию.

6) В день прибавляется примерно по одному такому абоненту.

7) Хочу отметить, мы не первый провайдер у кого начали появятся подобные случаи

8) У кого какие мысли что это такое?

Edited November 13, 2009 by SIM-SIM

[GateKeeper]

Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразы

Т.е. комп на предмет наличия хлама практически не исследовался.

Во время обследования Вашими людьми (т.е. при них) инцидент хоть раз проявлялся?

 

[SIM-SIM]

В том то и дело что появлялся но время появления и продолжительность данного глюка настолько не предсказуема что подловит момент в который это происходит пока не удалось, сейчас 3 таких абонента ещё вчера было 2, вот наткнулся тоже на человека с такой проблемой смотреть тут Не зная причины и того как её устранить сложно что либо даже подсказать абоненту..........

[itl2044]

Вытаскивать винт "больного" и сканить на ЗАВЕДОМО НЕ зараженной машине с касперским.

100% руткит.

[SIM-SIM]

Но установленное антивирусное ПО и просто утилита дрвеб керит его не видят, а возможности вытянуть винты у пользователь пока очень заоблачна, а с ростом количества зараженных станет почти нереальна

[Ivan_83]

Не нужно пеарить каспера.

Когда винт вытащен - любой антивирусник найдёт вирус, если он у него в базе есть, хоть клам, хоть куреит от др веба.

 

Берёте ноут помощьнее, и внешний бокс для винта, или есть подключалки без коробки по юзби, и винт даже вытаскивать не придётся чтобы просканить на ноуте.

 

Как вариант - битая сетевушка/порт/провод.

[itl2044]

Как вариант - битая сетевушка/порт/провод.

Каждый день у нового абонента??

[Ivan_83]

Если сеть большая, то вероятность увидеть мелкие-редкие аномалии возрастает.

[GateKeeper]

Если просканить антивирем - верх возможностей спеца при расследовании подобного рода инцидентов, то должность этого спеца - эникейщик-подмастерье.

Винт снять, подключить к чистой машине (требуется, чтобы памяти у нее было прилично, гига два), загрузиться в сисинтерналовский бутовый образ, запустить с флешки AVZ и исследовать потроха пораженной системы пункт за пунктом (это если проще), или не использовать AVZ, а открыть regedit и проделать то же самое им. После чего пройтись по винту и найти все файлы с датой создания/изменения, входящей в окрестность времени, когда произошел инцидент с исследуемой машиной. Сомнительное - переложить в карантин. Затем то же самое (сомнительное) выкинуть из системных каталогов выньды (драйвера, там, корень %SYSTEM32%...) Перекладывать надо в карантин на флэшке, сопровождая оное перекладывание процессом вайпа занятого до этого файлами пространства. Неплохо еще было бы исследовать содержимое крайних 8 метров на винте (это те, которые винда своим партишнером оставляет не занятыми).

 

SIM-SIM, Ваши спецы еще в обморок не попадали?

 

Ах, да. Это всё имеет смысл, только если будет соответственно оплачено - иначе, конечно, решение другое - винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size} и переустановка винды.

[Вахмурка]

> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

[Valaskor]

Быввает до 3-4 раз в месяц такое находим. Проблема обычно чисто железная, с вирусами не связаная. Например, встречалось подключение, которое сыпало маками, где стоял роутер, пакеты по L2 от компа не пропускающий.

[GateKeeper]

> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

Не поможет, т.к. существуют методы внедрения кода в/посредством MBR.

[vop]

> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

Не поможет, т.к. существуют методы внедрения кода в/посредством MBR.

И какой, после dd MBR? :)

[GateKeeper]

внимательней читайте - предлагалось format C: вместо dd

[goletsa]

Любопытно, наблюдаю нечто подобное и у себя в сети.

 

Интересно это выглядело на порту умного свича - мак адрес висящий в "воздухе" (при показе таблицы мак адресов небыло порта...).

 

[RomadinR]

Вытаскивать винт "больного" и сканить на ЗАВЕДОМО НЕ зараженной машине с касперским.

100% руткит.

А не проще ли с live cd или live usb прогрузиться? Или так сложно создать/взять готовое и раздать cd/usb flash "настройщикам"? Тот же DrWeb’овский cd можно взять. Edited November 16, 2009 by RomadinR

[Negator1983]

Я бы сначала попробовал порт в 10 мбит поставить.

Были похожие проблемы: на порту около 30-40 мак адресов "похожих". Всегда была проблема в кабельной части.