vic~ Опубликовано 30 мая, 2004 · Жалоба Знатоки! Помогите пожалуйста определиться. У нас в сети недавно произошла такая вешь.. У абонентов попеременно происходил конфликт адресов, примерно с периодом около минуты. С помощью рассечения на участки удалось обнаружить дом, откуда шел подмен. Мак адрес оставался постоянным и странным - типа 00 11 22 33 44 55. Подозреваемый говорит, что это возможно был вирус. Очень странный вирус. Если кто может, помогите прояснить ситуацию. И еще. Каким софтом это можно было сделать, если все это было все-же умышленно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sirco Опубликовано 30 мая, 2004 · Жалоба А пальцы в двери совать данному клиенту не пробовали ??? софт есть - но дело не в том - Дело в том что данный пользователь предпринял попытку воровства .... конфликт адресов - - это данный пользователь методом перебора проверял какие мак адреса есть в сети .... Если вирус то почему только у него ??? Мое мнение что умышленно ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Martin Deks Опубликовано 30 мая, 2004 · Жалоба хе, чтобы проверить какие маки есть в сети, такой заморочки не нужно. достаточно пропинговать всю подсеть, каким либо пингером, благо их под винду море. а потом написать arp -a скорее всего это тебе специально гимор устраивали, у вас конкурета случеем нет в домах??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vic~ Опубликовано 31 мая, 2004 · Жалоба Конкурентов нет, но есть хуже чем конкуренты. Есть "ДОБРОЖЕЛАТЕЛИ" - которые угрожали устоить проблем. Правда в частных разговорах со своими знакомыми. Но прямых улик нет. На Фри в логах что можно по этому найти? Или практически ничего? И еще. Переодически стал валиться UTM. MySQL. Потери составляют на сегодняшний день (за 2 дня) около 1,5 Гига. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 31 мая, 2004 · Жалоба А не пробовали выкинуть поршивенькое оборудование, и поставить управляемые свитчи с привязкой мак-ip. Обычно когда такая сеть, такие проблемы и бывают. Вот такие провы и создают проблемы а не юзвери. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vic~ Опубликовано 31 мая, 2004 · Жалоба Скоро так и будет, пока денег на это не было. Начинаем перевооружение, но не все так просто - около 80 домов сразу не заменишь, поэтому и прошу помощи знатоков. Может VPN поднять? Кстати о привязке, она у нас есть в UTM, но он когда валится все отязывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 31 мая, 2004 · Жалоба Это была попытка сниферства.... То есть воровства поролей у других пользователей.. Вероятность 90 процентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andrewk Опубликовано 31 мая, 2004 · Жалоба vic~, если стоит фрюха могу рекомендовать 2 простых решения: 1. arp -s - статическая привязка mac-адреса к ip 2. dhcp. в портах фрюхи dhcp умеет выдавать ip-адрес клиенту в зависимости от его mac-адреса. 3-е решение немного сложнее, но тоже реализуется - pppoe. Все три варианта позволяют закрепить ip-адреса за конкретными пользователями так, чтобы ими никто больше не пользовался. На Фри в логах что можно по этому найти? Или практически ничего? можно. сейчас не вспомню как это выглядит, но мы таких товарищей находили и к стенке ставили. чтобы было немного оперативнее и информативнее поставь из портов фрюхи arpwatch - оно будет тебе при смене ip-адреса на сетевухе писать в почту. Кроме этого с arpwatch идет база данных на производителей сетевых карт. И по первым цифрам MAC-адреса ты сможешь посмотреть производителя и (иногда) марку сетевухи. Это полезно в случае "странных" mac-адресов - ты будешь точно знать, что mac-адрес подменили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Busta Опубликовано 1 июня, 2004 · Жалоба Скоро так и будет, пока денег на это не было. Начинаем перевооружение,но не все так просто - около 80 домов сразу не заменишь, поэтому и прошу помощи знатоков. Может VPN поднять? Кстати о привязке, она у нас есть в UTM, но он когда валится все отязывается. СТОИТ поднять VPN + сделать привязку по mac адресам. Такая схема работает отлично. Недочеты траффика были, но это из-за падания базы, чтобы база не падала необходимо в UTM.cfg добавить строку: check_tables=1 Это скажет UTM`у перед обработкой траффика чинить базу. Можно еще закрыть порт на котором "мускул" работает. Дабы не показывать где у тебя база лежит ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kemanoriel Опубликовано 15 ноября, 2013 · Жалоба что бы это могло быть? 2013-11-15 16:18:49 - new - 00:50:58:9b:a9:fe port - 14 2013-11-15 16:18:49 - new - 04:72:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 06:c2:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 10:71:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 1a:80:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 1c:c2:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 22:37:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 24:94:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 26:03:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 2c:38:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 2e:35:58:8d:a9:fe port - 14 2013-11-15 16:18:49 - new - 32:ad:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 34:bd:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 4c:49:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 4c:e0:58:90:a9:ff port - 14 2013-11-15 16:18:49 - new - 5c:5d:58:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 5e:4a:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 6e:da:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 74:cf:58:58:a9:fe port - 14 2013-11-15 16:18:49 - new - 76:a7:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 7e:3d:58:75:a9:fe port - 14 2013-11-15 16:18:49 - new - 80:65:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 84:d5:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 8a:24:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 8a:63:58:7c:a9:ff port - 14 2013-11-15 16:18:49 - new - 90:3b:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 98:4d:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - 9c:97:58:67:ff:ff port - 14 2013-11-15 16:18:49 - new - 9e:8c:58:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - b2:2b:58:77:ff:ff port - 14 2013-11-15 16:18:49 - new - bc:11:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - bc:56:58:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - c8:c6:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - d8:ed:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - dc:64:ff:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - e2:b7:58:ff:ff:ff port - 14 2013-11-15 16:18:49 - new - ea:51:58:91:a9:fe port - 14 2013-11-15 16:18:49 - new - ea:68:58:6e:ff:ff port - 14 2013-11-15 16:18:49 - new - f2:d8:a2:74:5e:00 port - 14 2013-11-15 16:18:49 - new - fc:21:ff:ff:ff:ff port - 14 . 2013-11-15 16:19:55 - new - 18:34:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 1e:a6:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 2e:49:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 3a:b5:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 40:a1:58:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 40:a6:58:20:a9:ff port - 14 2013-11-15 16:19:55 - new - 42:76:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 44:66:58:3a:a9:fe port - 14 2013-11-15 16:19:55 - new - 50:3c:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 56:21:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 56:99:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 5a:dc:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 74:04:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 78:11:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 78:e0:58:3d:a9:fe port - 14 2013-11-15 16:19:55 - new - 7a:3e:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 7e:b4:58:44:a9:fe port - 14 2013-11-15 16:19:55 - new - 7e:fe:58:36:ff:ff port - 14 2013-11-15 16:19:55 - new - 8c:8d:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - 9c:98:58:33:a9:ff port - 14 2013-11-15 16:19:55 - new - 9c:f4:58:32:a9:fe port - 14 2013-11-15 16:19:55 - new - b0:b1:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - b2:e8:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - b6:62:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - b8:75:58:2a:a9:fe port - 14 2013-11-15 16:19:55 - new - ba:d5:58:2f:a9:ff port - 14 2013-11-15 16:19:55 - new - bc:98:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - d0:a8:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - d6:3a:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - dc:22:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - de:70:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - e8:b0:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - f0:90:58:51:ff:ff port - 14 2013-11-15 16:19:55 - new - f2:aa:ff:ff:ff:ff port - 14 2013-11-15 16:19:55 - new - fc:c0:ff:ff:ff:ff port - 14 . 2013-11-15 16:21:02 - new - 16:5e:58:18:ff:ff port - 14 2013-11-15 16:21:02 - new - 1c:8c:58:0f:ff:ff port - 14 2013-11-15 16:21:02 - new - 22:0c:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 30:a6:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 3e:a9:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 4e:ac:58:15:a9:ff port - 14 2013-11-15 16:21:02 - new - 60:27:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 62:f0:57:fa:a9:fe port - 14 2013-11-15 16:21:02 - new - 64:91:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 66:46:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 66:b5:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 70:3f:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 8c:06:57:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - 8e:d1:57:e2:a9:fe port - 14 2013-11-15 16:21:02 - new - bc:fe:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - c4:d0:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - c8:7c:57:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - cc:39:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - ce:ee:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - d0:37:58:12:a9:fe port - 14 2013-11-15 16:21:02 - new - d2:e0:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - da:d2:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - de:58:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - ea:53:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - ee:93:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - f2:ff:ff:ff:ff:ff port - 14 2013-11-15 16:21:02 - new - fc:6b:57:fd:ff:ff port - 14 не вирус точно тот кто так делает нашли изъяли комп но ничего не нашли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 ноября, 2013 · Жалоба плохой контакт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 15 ноября, 2013 · Жалоба плохой контакт. +1 Видел такое не раз. Маки обычно "похожи" друг на друга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 ноября, 2013 · Жалоба Точно так же порой и коммутаторы флудят. Тут можно и у всего подъезда компы изымать=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 21 ноября, 2013 · Жалоба было такое несколько раз ( даже с 10 случаев не насчитаю ) что абонент какбуд-то "флудит" постоянно разными но похожими маками изза поврежденного кабеля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 21 ноября, 2013 · Жалоба плохой контакт в rg-45/превышение длинны кабеля/скрутка. скрутку ищите первым делом :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uk2558 Опубликовано 21 ноября, 2013 · Жалоба К повреждению кабеля можно еще добавить глюк сетевой карты. Было похожее со встроенными сетевыми (чип не помню) на мамках Asrock и SuperMicro. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
=Dmitry= Опубликовано 22 ноября, 2013 · Жалоба Поля MAC охвачены CRC, там конечно есть вероятность коллизии, когда два разных сообщения имеют одинаковую CRC, но какой же для этого должен быть флуд от клиента, что бы за секунду 2-3 десятка коллизий выскочило? Скорее контроллер сбоит, или дрова кривые, периодически пишут что то левое в регистры MAC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 22 ноября, 2013 · Жалоба Это некоторые китайские железяки так забавно работают. Встречал на ноутбуках EMachines и (вы будете смеяться) на PBI-3100P на собственной станции кабельного ТВ. Причем на ноутбуках мак менялся на каждом отключении\поднятии линка, а на PBI-3100P меняется (до сих пор, кстати) при каждой перезагрузке устройства. Абоненту поставили роутер и о проблеме забыли, на PBI управляющий интерфейс включаем по необходимости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NST Опубликовано 22 ноября, 2013 · Жалоба не вирус точно тот кто так делает нашли изъяли комп но ничего не нашли. Это вы из-за флуда МАСами (да ещё и не по вине абонента, как вяснилось) вызывали ОМОН? )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 22 ноября, 2013 · Жалоба Какой нибудь школьник поставил линух и ip sentinel и капут вашему широковещательному домену. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 22 ноября, 2013 · Жалоба Вот такая же проблема флуда маками на микротике. Раньше выскакивало по 5 одинаковых маков одновременно, причём в разных подсетях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...