А был ли SYN?

Jack Smith

Guest

Это нравится:0 Да/0 Нет

16.05.2008 11:06:46

Столкнулся с очень странной проблемой.
Один из клиентов стал жаловаться на чрезмерный расход инет-трафика. Стали разбираться на месте. Антивирус нашел пару безобидных троянов, фаер же обнаружил SYN-атаку с мака свича. Отрубили инет(модем заткнут в свич), атаки пошли в локалку, причем на один конкретный комп. Переткнули его в другой разъем свича - все прекратилось. Похоже, что проблема в свиче, но в существование вирусов, способных перешивать коммутаторы, верится с трудом. Может быть, кто-нибудь уже сталкивался с подобным? Свич 5-портовый Acorp, все что можно перегружали, адреса компов в сети меняли полностью...

^rage^

Guest

Это нравится:0 Да/0 Нет

16.05.2008 14:18:18

Цитата
Jack Smith пишет: Антивирус нашел пару безобидных троянов, фаер же обнаружил SYN-атаку с мака свича.

Цитата
Jack Smith пишет: Свич 5-портовый Acorp

оно управляемое?

Jack Smith

Guest

Это нравится:0 Да/0 Нет

16.05.2008 15:45:46

"Ух ты! Они управляются! О_О"
Сорри, не о том... :oops:

Нет, неуправляемый, ИП своего не имеет. Менять свич считаю несколько затратным, тем более если вдруг окажется, что это не единичный случай. Ещё идеи?

^rage^

Guest

Это нравится:0 Да/0 Нет

16.05.2008 16:31:56

Цитата
Jack Smith пишет: Нет, неуправляемый, ИП своего не имеет.

Цитата
Jack Smith пишет: Антивирус нашел пару безобидных троянов, фаер же обнаружил SYN-атаку с мака свича.

вот это как бы совсем не понятно. откуда у свитча мак-адрес?

Jack Smith Guest	#5 Это нравится:0 Да/0 Нет 16.05.2008 16:47:05 Каждый порт свича имеет свой МАК-адрес. Разве нет?

* *

Editor

Сообщений: 1106 Баллов: 1117 Регистрация: 14.07.2003

Безопасность? Это просто!

Это нравится:0 Да/0 Нет

16.05.2008 23:58:58

1. У свитча нет MAC адресов на портах. У свитча может быть его MAC адрес внутреннний для работы spanning tree.
2. "SYN-атаку с мака свича" звучит красиво, но полный бред. Уж простите. SYN атаки возможны только с какого-то IP адреса поскольку используют пакеты TCP/IP внутри которых прописан IP адрес.
3. Неуправляемый свитч не знает что такое IP. Он понимает только фреймы Ethernet внутри которых MAC адреса.

AlphaM AlphaMM

Guest

Это нравится:0 Да/0 Нет

17.05.2008 22:57:39

Цитата
фаер же обнаружил SYN-атаку с мака свича.

а что это был за фаирволл?
случайно не отпост?
или каспер KIS?

Jack Smith Guest	#8 Это нравится:0 Да/0 Нет 19.05.2008 11:08:42 Я недостаточно точно выразился. Конечно атаки идут с ИП-адреса. Но ИП адрес меняется каждые несколько секунд, остается неизменным только МАК. Фаер 4-й Аутпост от Агнитума.

^rage^

Guest

Это нравится:0 Да/0 Нет

19.05.2008 15:13:58

Цитата
Jack Smith пишет: Я недостаточно точно выразился. Конечно атаки идут с ИП-адреса. Но ИП адрес меняется каждые несколько секунд, остается неизменным только МАК. Фаер 4-й Аутпост от Агнитума.

дык це ж банальный syn-спуфинг =)

Jack Smith Guest	#10 Это нравится:0 Да/0 Нет 19.05.2008 16:36:43 О_о по русски плиз...

* *

Editor

Сообщений: 1106 Баллов: 1117 Регистрация: 14.07.2003

Безопасность? Это просто!

#11

Это нравится:0 Да/0 Нет

19.05.2008 23:33:26

похоже что на каком-то компьютере в локалке стоит вирус, который генерирует и рассылает эти пакеты, причем он ставит IP адрес источника случайным образом. Будем надеяться, что хотя бы MAC адрес он использует своей сетевой карты (поэтому он всегда один). Значит можно попробовать найти по этому адресу: возьмите программу Cain&Abel и посмотрите соответствие между MAC и IP, затем попробуйте посмотреть MAC адреса на всех компьютерах (команда ipconfig /all в Windows и ifconfig -a в Unix)
или поочередно отключайте компьютеры от свитча, чтобы понять кто из них.
компьютеров то много?

Jack Smith

Guest

#12

Это нравится:0 Да/0 Нет

20.05.2008 10:59:18

Нет, 4 штуки всего.
В том и дело, что среди локальных такого адреса нет. Что касается поочередного отключения от сети, то тут совсем смешно. Из свича выключались ВСЕ компы, кроме атакуемого. Атака не прекращалась. Прекратилась именно после переключения в другой разъем свича.

Юрий Стахорский

Guest

#13

Это нравится:0 Да/0 Нет

20.05.2008 12:43:37

Ну ведь сказали же, что он меняет IP-адреса. Такого адреса и не будет в локальной сети. Он меняет их беспорядочно. Когда ты перетыкал в другой порт, вирус обнаружил, что сеть пропала и прекратил сразу же свою работу. Вытыкай компьютеры из свича и ты узнаешь где вирус. Может он находится на компьютере с оутпостом.

Ветеран

Guest

#14

Это нравится:0 Да/0 Нет

20.05.2008 15:27:46

Случается такая хрень, называется Jabber/ Это дефект сетевого устройства, разберись какой именно порт флудит и просто не используй его. Кстати этим бывает и страдают сетевухи на компе и тогда кажется, что с этого компьютера идет атака. Да и при этом есно доступ к этому компу из сети затруднен, хотя он видит остальных.

Jack Smith

Guest

#15

Это нравится:0 Да/0 Нет

20.05.2008 17:06:27

2Юрий Стахорский
Просьба не считать меня тупее, чем я есть >_< Когда я говорил про адрес, я имел ввиду МАК. Такого адреса среди компов сети нет ни у кого. Насчет "вытыкай из свича". Конечно, этот способ пробовался и не дал результатов. Если бы проблема была в этом, я бы не стал вылезать на форум...
2Ветеран
Это лечится?

cyberX

Guest

#16

Это нравится:0 Да/0 Нет

20.05.2008 21:39:50

Цитата
Jack Smith пишет: Когда я говорил про адрес, я имел ввиду МАК

MAC адрес тоже можно поменять.

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?