Проблемы установки, настройки и работы Правильной Операционной Системы
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
blackjackchik
- мл. сержант
- Сообщения: 90
- Зарегистрирован: 2008-06-13 12:56:54
Непрочитанное сообщение
blackjackchik » 2008-07-17 12:27:05
Вот собственно постоянно валит в лог вот это. И у меня появляются подозрения что из за этого периодически падает целая подсеть. Система - Фряха 7.0. Как этого избежать?
Код: Выделить всё
Jul 17 12:30:06 router kernel: arp: 172.16.25.121 moved from 00:e0:4c:fa:4d:ff to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:06 router kernel: arp: 172.16.25.127 moved from 00:0e:2e:d4:20:a4 to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:06 router kernel: arp: 172.16.25.131 moved from 00:15:f2:4e:1c:dd to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:08 router kernel: arp: 172.16.25.170 moved from 00:0e:a6:6c:8d:29 to 00:13:d4:95:34:96 on vlan25
Jul 17 12:30:10 router kernel: arp: 172.16.25.170 moved from 00:13:d4:95:34:96 to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:12 router kernel: arp: 172.16.25.131 moved from 00:0e:a6:6c:8d:29 to 00:15:f2:4e:1c:dd on vlan25
Jul 17 12:30:13 router kernel: arp: 172.16.25.119 moved from 00:0e:a6:6c:8d:29 to 00:0d:87:68:b7:ab on vlan25
Jul 17 12:30:13 router kernel: arp: 172.16.25.119 moved from 00:0d:87:68:b7:ab to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:13 router kernel: arp: 172.16.25.131 moved from 00:15:f2:4e:1c:dd to 00:0e:a6:6c:8d:29 on vlan25
Jul 17 12:30:14 router kernel: arp: 172.16.25.86 moved from 00:0e:a6:6c:8d:29 to 00:50:8d:e9:e7:31 on vlan25
blackjackchik
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
-
Контактная информация:
Непрочитанное сообщение
zingel » 2008-07-17 12:43:18
закрыть файрволом, поищите по-форуму, я писал, как это делать.
Код: Выделить всё
${ipfw} add deny MAC any ff:ff:ff:ff:ff:ff recv vlan 25
${ipfw} add deny MAC ff:ff:ff:ff:ff:ff any recv vlan 25
но могу ошибаться...
Z301171463546 - можно пожертвовать мне денег
zingel
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
-
Контактная информация:
Непрочитанное сообщение
dikens3 » 2008-07-17 15:25:56
Jul 17 12:30:08 router kernel: arp: 172.16.25.170 moved from 00:0e:a6:6c:8d:29 to 00:13:d4:95:34:96 on vlan25
Jul 17 12:30:10 router kernel: arp: 172.16.25.170 moved from 00:13:d4:95:34:96 to 00:0e:a6:6c:8d:29 on vlan25
Кому принадлежит 172.16.25.170 ?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
dikens3
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Непрочитанное сообщение
paradox » 2008-07-17 15:31:42
может и какая то кривизна в топологии, оборудовании
или еще в чем то
смотреть надо на вашу топологию и системы что там да как
paradox
-
zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
-
Контактная информация:
Непрочитанное сообщение
zingel » 2008-07-18 8:50:33
вообще, лучьше апаратными средствами пользоваться..
Z301171463546 - можно пожертвовать мне денег
zingel
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-07-21 12:00:16
это вирус. у мну такое уже 2-ю неделю продолжается.
вир прикольный, подставляет всей сети мак-адрес зараженной машинки.
как закрыть еще не знаю.
если резать фаеров на шлюзе, то не поможет, т.к. фря тоже видит, что запрос пришел с этого мака, т.е. типа для любого ИПа в сети подставляется один и тот же мак. пока борюсь только административными способами. звоню и говорю что б вытащил шнурок из компа и сканил на виры, обычно после проверки на виры все проодит.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-07-21 12:04:26
может дец не в тему, народ, а можно как-нить сделать так:
внедрить dhcp в сети, а затем запретить трафик от юзеров к серверу, которые сами выставили себе ИП? Типа если ДХСП не выдал ИП, сервер не обрабатывает запросы от этого хоста?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
-
Контактная информация:
Непрочитанное сообщение
LMik » 2008-07-21 12:18:59
schizoid писал(а):может дец не в тему, народ, а можно как-нить сделать так:
внедрить dhcp в сети, а затем запретить трафик от юзеров к серверу, которые сами выставили себе ИП? Типа если ДХСП не выдал ИП, сервер не обрабатывает запросы от этого хоста?
Запретить такой трафик ты сможешь только поставив L2 свитчи управляемые и разрешив передачу трафика только на аплинки.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
LMik
-
LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
-
Контактная информация:
Непрочитанное сообщение
LMik » 2008-07-21 12:20:23
schizoid писал(а):это вирус. у мну такое уже 2-ю неделю продолжается.
вир прикольный, подставляет всей сети мак-адрес зараженной машинки.
как закрыть еще не знаю.
если резать фаеров на шлюзе, то не поможет, т.к. фря тоже видит, что запрос пришел с этого мака, т.е. типа для любого ИПа в сети подставляется один и тот же мак. пока борюсь только административными способами. звоню и говорю что б вытащил шнурок из компа и сканил на виры, обычно после проверки на виры все проодит.
Что за вирус?
Это больше похоже на Man-In-The-Middle атаку... что за сетка? домовуха какая нить?
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
LMik
-
skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Непрочитанное сообщение
skeletor » 2008-07-21 13:20:48
Если в терминологии NOD32 то это скорее всего (или его разновидность) Nab32/Alman. Борьба против этого вируса - свежие базы антивируса. Находите мак или ИП который чаще всего засветился в логах и выключаете эту машину из сети. После этого МАКи должны вернуться назад, поэтому в логах можете наблюдать, как буд-то спуффинг продолжается.
skeletor
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-07-22 0:19:51
примерно так. на счет какой это вирус, хз, я его не ловил.
помогает обновление антивиря, отключение чела от сети физически, лечение и подключение назад.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2008-07-22 0:20:33
LMik писал(а):schizoid писал(а):может дец не в тему, народ, а можно как-нить сделать так:
внедрить dhcp в сети, а затем запретить трафик от юзеров к серверу, которые сами выставили себе ИП? Типа если ДХСП не выдал ИП, сервер не обрабатывает запросы от этого хоста?
Запретить такой трафик ты сможешь только поставив L2 свитчи управляемые и разрешив передачу трафика только на аплинки.
собсна так и думал, думал ...а фдрух...аж таки нет.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
freeman
- лейтенант
- Сообщения: 734
- Зарегистрирован: 2007-03-18 5:13:25
Непрочитанное сообщение
freeman » 2008-07-25 11:19:36
skeletor писал(а):Если в терминологии NOD32 то это скорее всего (или его разновидность) Nab32/Alman. Борьба против этого вируса - свежие базы антивируса. Находите мак или ИП который чаще всего засветился в логах и выключаете эту машину из сети. После этого МАКи должны вернуться назад, поэтому в логах можете наблюдать, как буд-то спуффинг продолжается.
Добавлю что НОД32 этот вирус месяца 2-3 не ловил. лечили Касперским, CureIt и Avast - они где то через недельку друг от друга в перечисленном порядке начали детектить.
Остатся должен только один ...
freeman