Re: Problem s viry

Mon, 15 Dec 2008 11:01:50 -0800 


Vilem Kebrt napsal(a):

Zdravim...

Toto mi neprijde jako virus, pripada mi to spise na vadnou sitovou kartu 
nekde v siti,nekdy se stane ze na karte odejde chip zvlastnim zpusobem 
(expert na to jsou realtek 8139d) a pak se to chova jako kompletni proxy 
arp...
aspon me se to tak chovalo...jedine zkouset odstavovat ruzne segmenty az 
to najdeme...



Mne se kdysi stalo na bezdratove siti neco podobneho - trochu horsiho - 
nejake radio s Realtek chipsetem zacalo odpovidat na vsechny arp dotazy. 
Najit se to dalo snadno - logy byly plne zaznu o tom, ze ruzny IP adresy 
preskakovaly z MAC na MAC - takze se dalo snadno zjistit, kteraze to MAC 
adresa blbne a bylo jasne, koho odpojit (aby sit vubec jela) a kam jit 
vymenit vadny strojek.


Zbynek



Bc. Radek Krejca napsal(a):

Zdravim,

  zdanlive OT velmi rychle vysvetlim, mam sit o nekolika stech a
  tisich uzivatelu. Uzivatele se "potkavaji" na FBSD NATu
  (realizovano pomoci PF) a zbytek cesty k nim je switchovan a
  "wifinovan" (popr. jinak vzduchem veden).

  Je zde nasledujici problem, cast site je ok, bohuzel cas je delana
  jeste postaru, ci byla koupena v ramci prevzeti site. Existuje v
  dnesni dobe viru, ktery meni IP adresy na 0.0.0.X a utoci na ruzne
  servery (zatim vim o jednom ip, ktere jsem zablokoval a je zatim
  klid). Tyto tisice paketu konci az na NATu, ktery sice ma nastavena
  omezeni v PF na pocet paketu z jednoho zdroje, ovsem zmenou ip a
  zrejme i poctem je v podstate odstaven.

  Zajima me, zda existuje nejake efektivni reseni, jak se tomuto
  branit. Kolegove od switchu sice zapinaji limity, ale za prve to
  nestaci a za druhe jsou casti site, kde jsou switche uplne tupe (i
  tak bohuzel nejedeme z financnich duvodu na Ciscu, takze i "lepsi"
  switche maji dost omezene moznosti).

  Napadlo me vypnout arp na vnitrnim rozhrani a zaznamy do tabulky
  zadat staticky, nejlepe s parametrem perm, bohuzel narazim na
  problem, jak ziskat mac adresy VSECH klientu rozumnym zpusobem v
  rozumnem case.

  Treba existuje nejake trivialnejsi reseni, ktere v tuto chvili
  nevidim z premiry snahy o vyreseni problemu.

  Diky
  Radek


  


--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l






















					Odpovedet emailem