Problem s viry

Zbyněk Burget zburget at burgnet.cz
Mon Dec 15 20:00:36 CET 2008



Vilem Kebrt napsal(a):
> Zdravim...
> Toto mi neprijde jako virus, pripada mi to spise na vadnou sitovou kartu 
> nekde v siti,nekdy se stane ze na karte odejde chip zvlastnim zpusobem 
> (expert na to jsou realtek 8139d) a pak se to chova jako kompletni proxy 
> arp...
> aspon me se to tak chovalo...jedine zkouset odstavovat ruzne segmenty az 
> to najdeme...

Mne se kdysi stalo na bezdratove siti neco podobneho - trochu horsiho - 
nejake radio s Realtek chipsetem zacalo odpovidat na vsechny arp dotazy. 
Najit se to dalo snadno - logy byly plne zaznu o tom, ze ruzny IP adresy 
preskakovaly z MAC na MAC - takze se dalo snadno zjistit, kteraze to MAC 
adresa blbne a bylo jasne, koho odpojit (aby sit vubec jela) a kam jit 
vymenit vadny strojek.

Zbynek


> Bc. Radek Krejca napsal(a):
>> Zdravim,
>>
>>   zdanlive OT velmi rychle vysvetlim, mam sit o nekolika stech a
>>   tisich uzivatelu. Uzivatele se "potkavaji" na FBSD NATu
>>   (realizovano pomoci PF) a zbytek cesty k nim je switchovan a
>>   "wifinovan" (popr. jinak vzduchem veden).
>>
>>   Je zde nasledujici problem, cast site je ok, bohuzel cas je delana
>>   jeste postaru, ci byla koupena v ramci prevzeti site. Existuje v
>>   dnesni dobe viru, ktery meni IP adresy na 0.0.0.X a utoci na ruzne
>>   servery (zatim vim o jednom ip, ktere jsem zablokoval a je zatim
>>   klid). Tyto tisice paketu konci az na NATu, ktery sice ma nastavena
>>   omezeni v PF na pocet paketu z jednoho zdroje, ovsem zmenou ip a
>>   zrejme i poctem je v podstate odstaven.
>>
>>   Zajima me, zda existuje nejake efektivni reseni, jak se tomuto
>>   branit. Kolegove od switchu sice zapinaji limity, ale za prve to
>>   nestaci a za druhe jsou casti site, kde jsou switche uplne tupe (i
>>   tak bohuzel nejedeme z financnich duvodu na Ciscu, takze i "lepsi"
>>   switche maji dost omezene moznosti).
>>
>>   Napadlo me vypnout arp na vnitrnim rozhrani a zaznamy do tabulky
>>   zadat staticky, nejlepe s parametrem perm, bohuzel narazim na
>>   problem, jak ziskat mac adresy VSECH klientu rozumnym zpusobem v
>>   rozumnem case.
>>
>>   Treba existuje nejake trivialnejsi reseni, ktere v tuto chvili
>>   nevidim z premiry snahy o vyreseni problemu.
>>
>>   Diky
>>   Radek
>>
>>   
> 
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l



More information about the Users-l mailing list