[vic~]

Знатоки! Помогите пожалуйста определиться.

У нас в сети недавно произошла такая вешь..

 

У абонентов попеременно происходил конфликт адресов, примерно с периодом около минуты.

С помощью рассечения на участки удалось обнаружить дом, откуда шел подмен. Мак адрес оставался постоянным и странным - типа 00 11 22 33 44 55.

Подозреваемый говорит, что это возможно был вирус. Очень странный вирус.

Если кто может, помогите прояснить ситуацию. И еще. Каким софтом это можно было сделать, если все это было все-же умышленно.

[Sirco]

А пальцы в двери совать данному клиенту не пробовали ???

софт есть - но дело не в том - Дело в том что данный пользователь предпринял попытку воровства ....

конфликт адресов - - это данный пользователь методом перебора проверял какие мак адреса есть в сети ....

 

Если вирус то почему только у него ???

 

Мое мнение что умышленно ...

[Martin Deks]

хе, чтобы проверить какие маки есть в сети, такой заморочки не нужно.

достаточно пропинговать всю подсеть, каким либо пингером, благо их под винду море.

а потом написать arp -a

 

скорее всего это тебе специально гимор устраивали,

у вас конкурета случеем нет в домах???

[vic~]

Конкурентов нет, но есть хуже чем конкуренты.

Есть "ДОБРОЖЕЛАТЕЛИ" - которые угрожали устоить проблем.

 

Правда в частных разговорах со своими знакомыми. Но прямых улик нет.

На Фри в логах что можно по этому найти? Или практически ничего?

И еще. Переодически стал валиться UTM. MySQL. Потери составляют на сегодняшний день (за 2 дня) около 1,5 Гига.

[Гость]

А не пробовали выкинуть поршивенькое оборудование, и поставить управляемые свитчи с привязкой мак-ip. Обычно когда такая сеть, такие проблемы и бывают. Вот такие провы и создают проблемы а не юзвери.

[vic~]

Скоро так и будет, пока денег на это не было. Начинаем перевооружение,

но не все так просто - около 80 домов сразу не заменишь, поэтому и прошу помощи знатоков.

 

Может VPN поднять?

Кстати о привязке, она у нас есть в UTM, но он когда валится все отязывается.

[Гость]

Это была попытка сниферства.... То есть воровства поролей у других пользователей.. Вероятность 90 процентов.

[andrewk]

vic~, если стоит фрюха могу рекомендовать 2 простых решения:

1. arp -s - статическая привязка mac-адреса к ip

2. dhcp. в портах фрюхи dhcp умеет выдавать ip-адрес клиенту в зависимости от его mac-адреса.

3-е решение немного сложнее, но тоже реализуется - pppoe. Все три варианта позволяют закрепить ip-адреса за конкретными пользователями так, чтобы ими никто больше не пользовался.

 

На Фри в логах что можно по этому найти? Или практически ничего?

можно. сейчас не вспомню как это выглядит, но мы таких товарищей находили и к стенке ставили.

чтобы было немного оперативнее и информативнее поставь из портов фрюхи arpwatch - оно будет тебе при смене ip-адреса на сетевухе писать в почту. Кроме этого с arpwatch идет база данных на производителей сетевых карт. И по первым цифрам MAC-адреса ты сможешь посмотреть производителя и (иногда) марку сетевухи. Это полезно в случае "странных" mac-адресов - ты будешь точно знать, что mac-адрес подменили.

[Busta]

Скоро так и будет, пока денег на это не было. Начинаем перевооружение,

но не все так просто - около 80 домов сразу не заменишь, поэтому и прошу помощи знатоков.

 

Может VPN поднять?

Кстати о привязке, она у нас есть в UTM, но он когда валится все отязывается.

 

СТОИТ поднять VPN + сделать привязку по mac адресам.

Такая схема работает отлично.

Недочеты траффика были, но это из-за падания базы, чтобы база не падала необходимо в UTM.cfg добавить строку:

check_tables=1

Это скажет UTM`у перед обработкой траффика чинить базу.

Можно еще закрыть порт на котором "мускул" работает.

Дабы не показывать где у тебя база лежит ;)

[Kemanoriel]

что бы это могло быть?

2013-11-15 16:18:49 - new - 00:50:58:9b:a9:fe port - 14

2013-11-15 16:18:49 - new - 04:72:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 06:c2:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 10:71:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 1a:80:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 1c:c2:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 22:37:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 24:94:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 26:03:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 2c:38:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 2e:35:58:8d:a9:fe port - 14

2013-11-15 16:18:49 - new - 32:ad:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 34:bd:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 4c:49:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 4c:e0:58:90:a9:ff port - 14

2013-11-15 16:18:49 - new - 5c:5d:58:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 5e:4a:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 6e:da:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 74:cf:58:58:a9:fe port - 14

2013-11-15 16:18:49 - new - 76:a7:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 7e:3d:58:75:a9:fe port - 14

2013-11-15 16:18:49 - new - 80:65:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 84:d5:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 8a:24:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 8a:63:58:7c:a9:ff port - 14

2013-11-15 16:18:49 - new - 90:3b:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 98:4d:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - 9c:97:58:67:ff:ff port - 14

2013-11-15 16:18:49 - new - 9e:8c:58:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - b2:2b:58:77:ff:ff port - 14

2013-11-15 16:18:49 - new - bc:11:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - bc:56:58:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - c8:c6:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - d8:ed:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - dc:64:ff:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - e2:b7:58:ff:ff:ff port - 14

2013-11-15 16:18:49 - new - ea:51:58:91:a9:fe port - 14

2013-11-15 16:18:49 - new - ea:68:58:6e:ff:ff port - 14

2013-11-15 16:18:49 - new - f2:d8:a2:74:5e:00 port - 14

2013-11-15 16:18:49 - new - fc:21:ff:ff:ff:ff port - 14

.

2013-11-15 16:19:55 - new - 18:34:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 1e:a6:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 2e:49:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 3a:b5:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 40:a1:58:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 40:a6:58:20:a9:ff port - 14

2013-11-15 16:19:55 - new - 42:76:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 44:66:58:3a:a9:fe port - 14

2013-11-15 16:19:55 - new - 50:3c:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 56:21:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 56:99:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 5a:dc:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 74:04:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 78:11:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 78:e0:58:3d:a9:fe port - 14

2013-11-15 16:19:55 - new - 7a:3e:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 7e:b4:58:44:a9:fe port - 14

2013-11-15 16:19:55 - new - 7e:fe:58:36:ff:ff port - 14

2013-11-15 16:19:55 - new - 8c:8d:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - 9c:98:58:33:a9:ff port - 14

2013-11-15 16:19:55 - new - 9c:f4:58:32:a9:fe port - 14

2013-11-15 16:19:55 - new - b0:b1:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - b2:e8:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - b6:62:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - b8:75:58:2a:a9:fe port - 14

2013-11-15 16:19:55 - new - ba:d5:58:2f:a9:ff port - 14

2013-11-15 16:19:55 - new - bc:98:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - d0:a8:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - d6:3a:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - dc:22:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - de:70:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - e8:b0:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - f0:90:58:51:ff:ff port - 14

2013-11-15 16:19:55 - new - f2:aa:ff:ff:ff:ff port - 14

2013-11-15 16:19:55 - new - fc:c0:ff:ff:ff:ff port - 14

.

2013-11-15 16:21:02 - new - 16:5e:58:18:ff:ff port - 14

2013-11-15 16:21:02 - new - 1c:8c:58:0f:ff:ff port - 14

2013-11-15 16:21:02 - new - 22:0c:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 30:a6:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 3e:a9:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 4e:ac:58:15:a9:ff port - 14

2013-11-15 16:21:02 - new - 60:27:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 62:f0:57:fa:a9:fe port - 14

2013-11-15 16:21:02 - new - 64:91:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 66:46:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 66:b5:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 70:3f:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 8c:06:57:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - 8e:d1:57:e2:a9:fe port - 14

2013-11-15 16:21:02 - new - bc:fe:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - c4:d0:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - c8:7c:57:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - cc:39:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - ce:ee:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - d0:37:58:12:a9:fe port - 14

2013-11-15 16:21:02 - new - d2:e0:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - da:d2:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - de:58:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - ea:53:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - ee:93:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - f2:ff:ff:ff:ff:ff port - 14

2013-11-15 16:21:02 - new - fc:6b:57:fd:ff:ff port - 14

 

не вирус точно тот кто так делает нашли изъяли комп но ничего не нашли.

[Ivan_83]

плохой контакт.

[Negator]

плохой контакт.

+1

Видел такое не раз.

Маки обычно "похожи" друг на друга.

[Saab95]

Точно так же порой и коммутаторы флудят. Тут можно и у всего подъезда компы изымать=)

[mcdemon]

было такое несколько раз ( даже с 10 случаев не насчитаю ) что абонент какбуд-то "флудит" постоянно разными но похожими маками изза поврежденного кабеля.

[BiWiS]

плохой контакт в rg-45/превышение длинны кабеля/скрутка.

скрутку ищите первым делом :)

[uk2558]

К повреждению кабеля можно еще добавить глюк сетевой карты. Было похожее со встроенными сетевыми (чип не помню) на мамках Asrock и SuperMicro.

[=Dmitry=]

Поля MAC охвачены CRC, там конечно есть вероятность коллизии, когда два разных сообщения имеют одинаковую CRC, но какой же для этого должен быть флуд от клиента, что бы за секунду 2-3 десятка коллизий выскочило?

Скорее контроллер сбоит, или дрова кривые, периодически пишут что то левое в регистры MAC.

[Mallorn]

Это некоторые китайские железяки так забавно работают. Встречал на ноутбуках EMachines и (вы будете смеяться) на PBI-3100P на собственной станции кабельного ТВ.

Причем на ноутбуках мак менялся на каждом отключении\поднятии линка, а на PBI-3100P меняется (до сих пор, кстати) при каждой перезагрузке устройства. Абоненту поставили роутер и о проблеме забыли, на PBI управляющий интерфейс включаем по необходимости.

[NST]

не вирус точно тот кто так делает нашли изъяли комп но ничего не нашли.

Это вы из-за флуда МАСами (да ещё и не по вине абонента, как вяснилось) вызывали ОМОН? ))

[denis_vid]

Какой нибудь школьник поставил линух и ip sentinel и капут вашему широковещательному домену.

[AKim]

Вот такая же проблема флуда маками на микротике. Раньше выскакивало по 5 одинаковых маков одновременно, причём в разных подсетях.