ARP-флуд

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
blackjackchik
мл. сержант
Сообщения: 90
Зарегистрирован: 2008-06-13 12:56:54

ARP-флуд

Непрочитанное сообщение blackjackchik » 2008-07-17 12:27:05

Вот собственно постоянно валит в лог вот это. И у меня появляются подозрения что из за этого периодически падает целая подсеть. Система - Фряха 7.0. Как этого избежать?

Код: Выделить всё

Jul 17 12:30:06 router kernel: arp: 172.16.25.121 moved from 00:e0:4c:fa:4d:ff to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:06 router kernel: arp: 172.16.25.127 moved from 00:0e:2e:d4:20:a4 to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:06 router kernel: arp: 172.16.25.131 moved from 00:15:f2:4e:1c:dd to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:08 router kernel: arp: 172.16.25.170 moved from 00:0e:a6:6c:8d:29 to 00:13:d4:95:34:96 on vlan25
Jul 17 12:30:10 router kernel: arp: 172.16.25.170 moved from 00:13:d4:95:34:96 to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:12 router kernel: arp: 172.16.25.131 moved from 00:0e:a6:6c:8d:29 to 00:15:f2:4e:1c:dd on vlan25
Jul 17 12:30:13 router kernel: arp: 172.16.25.119 moved from 00:0e:a6:6c:8d:29 to 00:0d:87:68:b7:ab on vlan25
Jul 17 12:30:13 router kernel: arp: 172.16.25.119 moved from 00:0d:87:68:b7:ab to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:13 router kernel: arp: 172.16.25.131 moved from 00:15:f2:4e:1c:dd to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:14 router kernel: arp: 172.16.25.86 moved from 00:0e:a6:6c:8d:29 to 00:50:8d:e9:e7:31 on vlan25

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение zingel » 2008-07-17 12:43:18

закрыть файрволом, поищите по-форуму, я писал, как это делать.

Код: Выделить всё

${ipfw} add  deny MAC any ff:ff:ff:ff:ff:ff recv vlan 25
${ipfw} add  deny MAC ff:ff:ff:ff:ff:ff any recv vlan 25
но могу ошибаться...
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение dikens3 » 2008-07-17 15:25:56

Jul 17 12:30:08 router kernel: arp: 172.16.25.170 moved from 00:0e:a6:6c:8d:29 to 00:13:d4:95:34:96 on vlan25
Jul 17 12:30:10 router kernel: arp: 172.16.25.170 moved from 00:13:d4:95:34:96 to 00:0e:a6:6c:8d:29 on vlan25
Кому принадлежит 172.16.25.170 ?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ARP-флуд

Непрочитанное сообщение paradox » 2008-07-17 15:31:42

может и какая то кривизна в топологии, оборудовании
или еще в чем то

смотреть надо на вашу топологию и системы что там да как

blackjakchik
проходил мимо

Re: ARP-флуд

Непрочитанное сообщение blackjakchik » 2008-07-18 8:48:37

ну я пока воспользовался вот этим вроде помогает
http://netoptima.in/arprotect/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение zingel » 2008-07-18 8:50:33

вообще, лучьше апаратными средствами пользоваться..
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение schizoid » 2008-07-21 12:00:16

это вирус. у мну такое уже 2-ю неделю продолжается.
вир прикольный, подставляет всей сети мак-адрес зараженной машинки.
как закрыть еще не знаю.

если резать фаеров на шлюзе, то не поможет, т.к. фря тоже видит, что запрос пришел с этого мака, т.е. типа для любого ИПа в сети подставляется один и тот же мак. пока борюсь только административными способами. звоню и говорю что б вытащил шнурок из компа и сканил на виры, обычно после проверки на виры все проодит.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение schizoid » 2008-07-21 12:04:26

может дец не в тему, народ, а можно как-нить сделать так:
внедрить dhcp в сети, а затем запретить трафик от юзеров к серверу, которые сами выставили себе ИП? Типа если ДХСП не выдал ИП, сервер не обрабатывает запросы от этого хоста?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение LMik » 2008-07-21 12:18:59

schizoid писал(а):может дец не в тему, народ, а можно как-нить сделать так:
внедрить dhcp в сети, а затем запретить трафик от юзеров к серверу, которые сами выставили себе ИП? Типа если ДХСП не выдал ИП, сервер не обрабатывает запросы от этого хоста?
Запретить такой трафик ты сможешь только поставив L2 свитчи управляемые и разрешив передачу трафика только на аплинки.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение LMik » 2008-07-21 12:20:23

schizoid писал(а):это вирус. у мну такое уже 2-ю неделю продолжается.
вир прикольный, подставляет всей сети мак-адрес зараженной машинки.
как закрыть еще не знаю.

если резать фаеров на шлюзе, то не поможет, т.к. фря тоже видит, что запрос пришел с этого мака, т.е. типа для любого ИПа в сети подставляется один и тот же мак. пока борюсь только административными способами. звоню и говорю что б вытащил шнурок из компа и сканил на виры, обычно после проверки на виры все проодит.
Что за вирус?

Это больше похоже на Man-In-The-Middle атаку... что за сетка? домовуха какая нить?
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
skeletor
майор
Сообщения: 2515
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение skeletor » 2008-07-21 13:20:48

Если в терминологии NOD32 то это скорее всего (или его разновидность) Nab32/Alman. Борьба против этого вируса - свежие базы антивируса. Находите мак или ИП который чаще всего засветился в логах и выключаете эту машину из сети. После этого МАКи должны вернуться назад, поэтому в логах можете наблюдать, как буд-то спуффинг продолжается.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение schizoid » 2008-07-22 0:19:51

примерно так. на счет какой это вирус, хз, я его не ловил.
помогает обновление антивиря, отключение чела от сети физически, лечение и подключение назад.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ARP-флуд

Непрочитанное сообщение schizoid » 2008-07-22 0:20:33

LMik писал(а):
schizoid писал(а):может дец не в тему, народ, а можно как-нить сделать так:
внедрить dhcp в сети, а затем запретить трафик от юзеров к серверу, которые сами выставили себе ИП? Типа если ДХСП не выдал ИП, сервер не обрабатывает запросы от этого хоста?
Запретить такой трафик ты сможешь только поставив L2 свитчи управляемые и разрешив передачу трафика только на аплинки.
собсна так и думал, думал ...а фдрух...аж таки нет.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: ARP-флуд

Непрочитанное сообщение freeman » 2008-07-25 11:19:36

skeletor писал(а):Если в терминологии NOD32 то это скорее всего (или его разновидность) Nab32/Alman. Борьба против этого вируса - свежие базы антивируса. Находите мак или ИП который чаще всего засветился в логах и выключаете эту машину из сети. После этого МАКи должны вернуться назад, поэтому в логах можете наблюдать, как буд-то спуффинг продолжается.
Добавлю что НОД32 этот вирус месяца 2-3 не ловил. лечили Касперским, CureIt и Avast - они где то через недельку друг от друга в перечисленном порядке начали детектить.
Остатся должен только один ...