ibash.org.ru - Новый цитатник Рунета

Форум: Одмин хелп реквест 1 > [RSS]

Форум: Вход Регистрация Участники Поиск RSS

Temcha
14.10.2008 - 00:27

Вопрос в стиле "чобляделать".
Вопчем, в той локалке, к которой я подключен (частная сеть на полторы сотни компов), шняга какая-то.
Пинги к шлюзу идут с 30-60% потерь. Сеть у меня периодически совсем пропадает.
Сначала все было нормально. Проблемы начались дня три назад.
В снифере подсмотрел, что некоторые ипшники рассылают пачки АРП-пакетов. Похоже на АРП-флуд вроде.
ИПшники разные. Каждый день новые, МАКи разные, и соответствие вроде не нарушается....
Короче, что делать? На что это похоже? Как прижучить гадов? Я так понимаю, от АРП флуда и статическая АРП таблица не спасет?
Очень прошу отписаться тех, кто шарит в вопросе. Если нужны уточнения - говорите, где глянуть.

Ским
#1 - 14.10.2008 - 00:38

1) ты уверен, что это именно флуд? Насколько много (приблизительно) запросов бегает.
2) я предлгал - самый идеальный вариант - поставить умные свичи посегментно - будут блочить гадов. А сиюминутное решение - (если кабель цел и оборудованеи в порядке) сменить айпишник шлюза и следить за тем, что будет происходить

SpideR
#2 - 14.10.2008 - 09:56

есть похожая фигня с кривыми wi-fi точками(d-link некоторые), решается проблема отключением последних

Temcha
#3 - 14.10.2008 - 12:12

2Ским Нет, не уверен.
Снифер триальный, с ограничениями. Наблюдал пачки в два десятка пакетов за секунду. Дальше снифер не показал.
Насчет умных свичей я тебе говорил. Дорого.

Собственно, я хотел узнать, в чем еще может быть дело? На какую атаку еще похоже? Как можно потестить?

2SpideR Врядли связано с вайфаем.... Даже если так, АРП-зпросы шли бы с адреса шлюза. Или ты думаешьл, что кто-то из пользователей влепил точку доступа? Чтоб, типа, в туалете с ноутом в инете сидеть?

DdVar
#4 - 14.10.2008 - 12:25

> Или ты думаешьл, что кто-то из пользователей влепил точку доступа? Чтоб, типа, в туалете с ноутом в инете сидеть?

А я бы поставил.. если б ноут был ^_^

SpideR
#5 - 14.10.2008 - 14:56

у меня были точки такие для обьеденения 4х сетей, убрали. Потом кто-то включал, но адекватного обьяснения я не услышал)

Temcha
#6 - 14.10.2008 - 16:28

Как отследить, что кто-то меняет мак, присваивает себе шлюзовский?
повторяю свичи - мыльницы! Ну, если ИПшик тот же, то arpwach должен ругнуться. Вроде.
А если ИПшник берет произвольный из разрешенного диапазона?

Zloy
#7 - 14.10.2008 - 22:45

Была в точности такая ситуация... оказалось, флудил дешевый неуправляемый коммутатор, почему-то дублировал некоторые пакеты. Мы тоже подумали, что там коварный вредитель.. прихватили с собой орудия пытки, определили комнату, заходим туда... а там ничего, кроме этой мыльницы.

Iwan
#8 - 15.10.2008 - 21:59

Гм... не отписался. Потому и не отписался, что "а хрен его знает чобляделать" ;)

Я бы запустил на шлюзе tcpdump, скинул его вывод в лог-файл, и посмотрел откуда ветер дует. Потому что по описанию это может быть все что угодно. От замкнувшего накоротко, свихнувшегося хаба, до вирусной инфекции в сети или тупо саботажа... ну или кривых рук пользователя, который поставил новую, интересную систему защиты на свой комп.

Можно отключать по комнате, до локализации проблемы, потом найти того, кто за это отвечает, разобраться как следует и наказать кого попало.

Iwan
#9 - 15.10.2008 - 22:00

А может кстати сетевуха на самом шлюзе глючит. Или где то в сети в любом из свичей кольцо есть...

Temcha
#10 - 15.10.2008 - 22:38

Спасибо.
Оказалось, дело действительно в замкнувшем свиче. Но есть еще один чувак.... Любит менять мак адреса.
Иван, есть прога, которая автоматически собирает статистику он/оф компов, чтобы отследить, какой комп выключается перед тем, как появится новый с чужим маком?

Iwan
#11 - 16.10.2008 - 00:26

>>Оказалось, дело действительно в замкнувшем свиче. Но есть еще один чувак.... Любит менять мак адреса.

Короче... Как обычно организовываю сети я. Поднимается DHCP с DDNS. Поднимается PDC. Не знаю как на винде, но на линуксе связать это в единое целое достаточно просто. Т.е. DHCP раздает ip-адрес, заносит его в БД с привязкой по маку. После этого компутер заносится в домен, и ему выделяется имя. После этого начинает работать связка: ip + mac + domain_name... Только после этого DHCP выделяет правильный шлюз и ДНС, а на фаерволе открывается выход по маку+айпи. Для паранойиков есть вариант дать возможность логинится на эту машину только пользователю этой машины.

Тут что главное... тут главное вэб морду написать такую, которую не ломануть. А то писец всей этой красивой схеме. Правда если вы сам одмин этого решения, а не сдаете его под ключ, лучше вообще не выносить средства управления в район протоколов http\https.

При данном раскладе траблы выявляются куда быстрее и эффективней. А кадры, которые пытаются маки менять, сидят без интернета, и без доступа к сети. Короче ходят из угла в угол и ждут когда их выебут. За эксперименты с рабочими компами.

>>Иван, есть прога, которая автоматически собирает статистику он/оф компов, чтобы отследить, какой комп выключается перед тем, как появится новый с чужим маком?

Есть. На контроллер домена вешаешь при логоне пользователя скрипт, который запускает какую нить полезную прогу. У меня очень часто этой прогой является АИДА. Она же выгружает данные в 1С, что позволяет вовремя отследить изенения в составе оборудования... Ибо никто не имеет права пиздить комплектуху с компов! Кроме непосредственно одмина... А так же дает представления о том когда включался комп, когда какой пользователь на него заходил, когда выходил.

Temcha
#12 - 16.10.2008 - 17:36

Спасибо огромное.
Кое-что впринципе нереализуемо, т.к. сеть частная, и компы к ней подлючаются собственные. (Это не организация, а местная локалка)
А в основном... Славненький рецепт.
Один нюанс... С сети без вланов, если кто-то берет себе мак шлюза, траблы с инетом у всех... (Это если нат)
С DHCP по-другому?
Про Аиду погуглю, может еще вопросы появятся...

Iwan
#13 - 16.10.2008 - 20:10

>>если кто-то берет себе мак шлюза, траблы с инетом у всех

Ну... по идее траблы будут реально у всех. Только толку то ему так делать? Он же тоже:

1) Останется без сети и интернета.
2) Ему сломают руки и ноги.

Temcha
#14 - 16.10.2008 - 23:38

У меня два предположения:
1. Малолетка, вообразивший себя кульным хацкером.
2. Личная неприязнь к владельцу сети.

Iwan
#15 - 17.10.2008 - 17:50

Ну... Все конечно может быть.

Честно говоря такие проблемы решают LinkSys'ы... Умные свичи на базе Cisco. Они такого одаренного товарисча отсекут на раз. Ну или что то типа такого, просто я к Линксисам уже привык... :)))
P\S: *Где мой откат за рекламу?*

А вообще... Я не совсем понимаю смысл давать права пользователям на смену мака. Да и свичи надо прятать от пользователей подальше... Камень не в твой огород Тем на сколько я понял топологию, а в огород тех, кто за частной сетью подключенной к вам организации следит...

Temcha
#16 - 17.10.2008 - 23:14

Иван!! Речь сейчас не об организации!!! В моей конторе все пучком - там циски и вланы. И с чужим маком ты дальше маршрутизатора не пролезешь.
Речь о частной сети. (мой домашний ком к ней подключен) И комп ПРИНАДЛЕЖИТ чуваку, и никто не может указать, что ему можно менять, а что нет. )))) И циски для такой сети - роскошь.

DdVar
#17 - 19.10.2008 - 11:36

> И циски для такой сети - роскошь.
Не, это не роскошь... это просто невыполнимая мечта ^_^

Iwan
#18 - 19.10.2008 - 13:28

LinkSys тем и хорош что вроде как Циска... но стоит без накруток за бренд

Kaa
#19 - 19.10.2008 - 13:31

а мне говорили что это не вроде как а вообще одно и то же внутри.. по крайней мере некоторые
К списку вопросовСтраницы: 1 >

Быстрый ответ
Имя:      Пароль:    
Текст сообщения:

«ibash.org.ru — Новый цитатник Рунета» Почта вебмастера: imail@ibash.org.ru