На днях в сети приключился вирус интересным симптомом которого была arp spoofing атака.
Он "назначал" компьютеру адрес шлюза и оповещал об этом других. (в одном случае он назначил себе адрес другого компа).
При этом все участвовавшие компьютеры были ограничены IP-MAC-PORT привязкой по ARP. Они не только не были заблокированы но и прописывание на коммутаторе статической arp записи шлюза совершенно им игнорировалось.
Коммутаторы которые пропустили всё это: 3312 и 3526.
Вопрос: как бороться в будущем?
зы: было оч. интересно смотреть на результат действия arpwatch - сплошные flip-flop-ы...

_________________
Размер - величина зависящая от обстоятельств...

Версии прошивки устройств?
Пришлите пожалуйста дамп пакетов, которыми флудит вирус, конфигурацию свичей и шлюза.

2 borcat:
Ну-ка попробуйте самостоятельно ответить на вопросы:
1. Каким образом записи IP-MAC-PORT на коммутаторе могли помешать заражённому компьютеру выдавать себя за шлюз (методом фиктивных arp-ответов)?
2. Каким образом статические записи в arp-таблице layer-2-коммутатора (на примере хотя бы DES3526) могли воспрепятствовать распространению фиктивных arp-ответов внутри единого широковещательного сегмента сети?

Теперь о "как бороться":
1-ый вариант (геморройный): Статические арп-записи (IP-MAC шлюза) на клиентских машинах.
2-ой вариант: ACL (типа packet content filter) на коммутаторах (эффективен только при условии, когда каждый клиент "висит" на отдельном порту ACL-коммутатора). Следует блокировать ARP-отклики, в которых IP-адресу шлюза сопоставляется "левый" MAC-адрес.

Дампа увы нет... Словило 5 машин - ну оч. мешали, потому вырубил побыстрее. Одну машинку приносили посмотреть - NOD с обновлениями на 14.11.2007 в упор не видит, DRWEB - что-то нашёл но определить не смог.
При подключении дома за роутером (dlink 604) вырубило роутер + 2 компа (кончилась сетка)... Компам помогло отключение-подключение сетевых шнуров, роутеру - только перезагрузка.

Шлюз - циска, думал помирать собралась.
Куда конфиг свичей/сети слать?
Firmware (благо в разных местах было): 3526: 401b19, 500b25, 501b009; 3312: 3.50-b10, 3.60-s12

_________________
Размер - величина зависящая от обстоятельств...

Проверкой широковещательной рассылки на предмет соответствия привязкам.


Таким что коммутатор хоть и получал бы ответ по порту, но ориентировался для результата(пересылки далее) по своим статическим записям.


Анрил. + в данном случае: подмена была результатом действия вируса, а он мог бы и удалить енту привязку.
Кстати, первый его признак (вируса) - это ошибка windows "Системная ошибка: В сети существуют совпадающие имена." при том что имя 100% уникальное!


Вариант нравится, особенно если учесть то обстоятельство что у меня "каждый клиент "висит" на отдельном порту ACL-коммутатора)"(ну разве что 2-4 ip-шника)...
Только блокировать наверное всё же лучше ARP-отклики не соответствующие привязкам на порту.
Вопрос в том что: почему эти acl не формируются самим коммутатором на основе существующих привязок по портам?

_________________
Размер - величина зависящая от обстоятельств...

Я так понимаю, если в сети есть DES-2108, то с ними вообще можно остаться без сети из-за этого вируса?

У Вас выше должны стоять свитчи с поддержкой ACL которые и должны резать этот трафик.

У меня построен корень сети на кольце из 4 шт. 3312, к ним подключены 3526 к которым подключены абоненты.
Как мне зарезать эту заразу хотя бы на 3312? Сегодня ещё 2 добавилось.
зы: чесно - ловить пакеты удовольствия не доставляет - хочется просто вырубить. (особенно если учесть что порядка 1000 абонентов лишаются интернета)

_________________
Размер - величина зависящая от обстоятельств...

Какие нафик 2108? Тут 3526 и 3312 не справляются...

_________________
Размер - величина зависящая от обстоятельств...

Уже на DES-35XX надо резать. У Вас какая версия прошивки?

"Firmware (благо в разных местах было): 3526: 401b19, 500b25, 501b009; 3312: 3.50-b10, 3.60-s12"
Ещё проблема в том что они не только подставляют адрес шлюза (10.0.0.1) но и других компьютеров (один разок было).
+ хотелось бы о таких знать (зачем???... наверное таки по возможности, а так - и хрен с ними - лишь бы другим не мешали и мне не жаловались на связь плохую.)

_________________
Размер - величина зависящая от обстоятельств...

Могу всё оборудование обновить до последних прошивок.

_________________
Размер - величина зависящая от обстоятельств...

Обновите прошивку до 5.01-B09 и включите IP-MAC-Port Binding в режиме strict. Должно помочь. А это стандартная атака на шлюз чтобы другие не могли ходить в общем случае.

У меня за сегодня уже 3 отключены - в разных местах...

_________________
Размер - величина зависящая от обстоятельств...

1. Обновите прошивки до последних.
2. С помощью ACL Packet content Filtering запретите ARP ответы с клиентских портов с ИП адресом шлюза.
3. Если есть возможность, выложите плз дамп вирусного пакета, ибо хочется предупредить распостранение такой вирусни.