Вчера возникла проблема:
в сетке у одного юзверя появился либо червячек,либо хз че.
Делает следующее: валит в сетку от своего МАКа ARP-ответы "у меня такой-то ИП" и постепенно вся АРП-таблица заполняется только его МАКом под всеми ИП-адресами. В итоге все пользователи отваливаются.
Система - FreeBSD 6.0,(ядро - 6.1) - выполняет функцию роутера. Запущен МПД 4.3,IRC так,по мелочи...
Рядом с ним стоит еще один сервак под FreeBSD 6.1. Там крутится ВЕБ,ФТП и остальное. Он ведет себя вполне адекватно. АРП-таблица нормальная. Никаких заполнений и неадекватных реакций на вражеские арп-запросы нет.
Как запретить серверу реагировать на арп-ответы,запросы на которые он не отправлял? (на сколько я понимаю,именно это и происходит!)
1.
touch /etc/arp.tbl
ee /etc/arp.tbl
192.168.9.1 aa:bb:cc:dd:00:01
192.168.9.2 aa:bb:cc:dd:00:02
.............................
.............................
192.168.9.100 aa:bb:cc:dd:01:00и т.д. и т.п.
где 192.168.9.1.24 твоя сеть (или чего-то-там-наподобие)
К IP-адресам которые действительно есть в сети привязываем действительные маки
К свободным IP-дресам (не занятым) привязываем левые маки (типа пример выше)
вместо aa bb cc dd ee ff можно цифирь пробить (фантазия подскажет)
после чего
2. arp -ad и arp -f /etc/arp.tbl
Статическая АРП-таблица уже планировалась.
Но возникла одна проблема с ней: у некоторых пользователей комп и бук. Работают они не одновременно. И связи с этим выдаётся один и тот же ИП на разные МАКи. Как такой финт реализовать со статической АТП-таблицей?
1.Выдать этим пользователям разные адреса
2.Вообще не привязывать этих пользователей к макам
3.Попробовать привязать к одному адресу два мака (может проканает?)
типа
192.168.1.10 00:80:48:64:8b:a8
192.168.1.10 4c:63:2t:74:8d:24
4.На компе назначить мак ноута и в арп таблице будет одна запись для этого пользователя
>1.Выдать этим пользователям разные адреса
>2.Вообще не привязывать этих пользователей к макам
>3.Попробовать привязать к одному адресу два мака (может проканает?)
>типа
>192.168.1.10 00:80:48:64:8b:a8
>192.168.1.10 4c:63:2t:74:8d:24ipguard спасет, он умеет и много mac на 1 ip, и любой mac на ip, и выкидывать несуществующие связки mac-ip в состояние "получение сетевого адреса"
Если в сети есть тупые свитчи, статическая таблица на роутере может не проконать.
Червь просто забьет таблицу свитча и все пользователи этого свитча отвалятся.
>Если в сети есть тупые свитчи, статическая таблица на роутере может не
>проконать.
>Червь просто забьет таблицу свитча и все пользователи этого свитча отвалятся.Они не отвалятся, свич перейдёт в режим хаба.
>>Если в сети есть тупые свитчи, статическая таблица на роутере может не
>>проконать.
>>Червь просто забьет таблицу свитча и все пользователи этого свитча отвалятся.
>
>Они не отвалятся, свич перейдёт в режим хаба.:) улыбнуло - "у меня кран потек - давайте магистрать переложим", а надо просто прокладку поменять - может чем ходить через 1 место проще решить проблему с вирусной безопастностью. :)
Парни, та же самая проблема, но в масштабах ольлой локальной сети.Полный трындец.
Если увидите лекарство - стучите, пожалуйста.
Спасибо
>Парни, та же самая проблема, но в масштабах ольлой локальной сети.
>
>Полный трындец.
>
>Если увидите лекарство - стучите, пожалуйста.
>СпасибоОбычно, помогают управлямые свитчи, где есть жесткая привязка mac к порту.
>Обычно, помогают управлямые свитчи, где есть жесткая привязка mac к порту.Ну вот, ещё один умник нашёлся :-).
Как ты запретишь управляемым свитчём с привязкой мака к порту не использовать все остальные адреса из его подсети?
А никак.
>
>>Обычно, помогают управлямые свитчи, где есть жесткая привязка mac к порту.
>
>Ну вот, ещё один умник нашёлся :-).
>
>Как ты запретишь управляемым свитчём с привязкой мака к порту не использовать
>все остальные адреса из его подсети?Я делаю на роутере жесткую привязку mac-ip.
Если товарищ меняет IP, arpwatch говорит об этом и я ложу порт умника.>А никак.
Учите матчасть.
>:) улыбнуло - "у меня кран потек - давайте магистрать переложим", а
>надо просто прокладку поменять - может чем ходить через 1 место
>проще решить проблему с вирусной безопастностью. :)Бороться с вирусами нужно, никто не спорит. Но с другой стороны, любой пользователь с нехорошими намерениями может сам положить сеть таким образом.
>>:) улыбнуло - "у меня кран потек - давайте магистрать переложим", а
>>надо просто прокладку поменять - может чем ходить через 1 место
>>проще решить проблему с вирусной безопастностью. :)
>
>Бороться с вирусами нужно, никто не спорит. Но с другой стороны,
>любой пользователь с нехорошими намерениями может сам положить сеть таким образом.
>А пользователя с нехорошими манерами надо засеч и наказать, просто нет таких вариантров при которых ты сможешь реализовать не потопляюмую сеть в этом плане - мне в свое время удалось даже потопить сеть построенную на кисках 3750 (наспор) - так что можно изголяться скока угодно, если человек сруками и задался целью его не остановишь, а вот отследить и покарать можно :)
Таже проблемма ктонить нашел хоть название вируса если да то отпишите плз
>Таже проблемма ктонить нашел хоть название вируса если да то отпишите плз
>http://www.hub.ru/forum/index.php?showtopic=24384&mode=linear