Такой вопрос, что это может быть?Может ли быть это вирус?

Смотрю просто tcpdump'ом.
Этот блок вылазит каждые ХХсекунд, и только от одного клиента.
tcpdump -i vr1 -n host 10.11.28.205
Показывает только этот блок и всё...сново и сново



23:40:14.225746 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 253
23:40:14.229033 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 271
23:40:14.236426 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 325
23:40:14.240236 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 317
23:40:14.245402 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 247
23:40:14.250385 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 289
23:40:14.274122 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 321
23:40:14.276039 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 267
23:40:14.278111 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 319
23:40:14.281983 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 313
23:40:14.294331 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 245
23:40:14.296394 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 288
23:40:14.298471 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 318



Так же:

# tcpdump -i vr1 -n host 10.11.28.205
tcpdump: WARNING: vr1: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vr1, link-type EN10MB (Ethernet), capture size 96 bytes
00:01:51.288032 arp who-has 10.11.28.205 tell 10.11.25.227
00:01:51.291948 arp who-has 10.11.25.227 (0a:0b:0a:0b:0a:0b) tell 10.11.28.205
00:01:51.292261 arp reply 10.11.25.227 is-at 00:16:d3:63:c1:e5
00:01:51.292293 arp reply 10.11.28.205 is-at 00:1b:11:6b:3c:c7
00:01:51.292573 IP 10.11.28.205.1900 > 10.11.25.227.1636: UDP, length 323
00:01:51.292778 IP 10.11.25.227.1640 > 10.11.28.205.5678: S 2115773503:2115773503(0) win 16384 <mss 1460,nop,nop,sackOK>
00:01:51.294861 IP 10.11.28.205.5678 > 10.11.25.227.1640: S 12376511:12376511(0) ack 2115773504 win 8192 <mss 1456>
00:01:51.295920 IP 10.11.25.227.1640 > 10.11.28.205.5678: . ack 1 win 17472
00:01:51.322769 IP 10.11.25.227.1640 > 10.11.28.205.5678: P 1:217(216) ack 1 win 17472
00:01:51.324561 IP 10.11.28.205.5678 > 10.11.25.227.1640: . ack 217 win 7976
00:01:51.976847 IP 10.11.28.205.5678 > 10.11.25.227.1640: P 1:120(119) ack 217 win 8192
00:01:51.979785 IP 10.11.28.205.5678 > 10.11.25.227.1640: . 120:1520(1400) ack 217 win 8192
00:01:51.981671 IP 10.11.25.227.1640 > 10.11.28.205.5678: . ack 1520 win 17472
00:01:51.982605 IP 10.11.28.205.5678 > 10.11.25.227.1640: . 1520:2976(1456) ack 217 win 8192
00:01:52.148641 IP 10.11.25.227.1640 > 10.11.28.205.5678: . ack 2976 win 17472
00:01:52.151970 IP 10.11.28.205.5678 > 10.11.25.227.1640: FP 2976:3003(27) ack 217 win 8192
00:01:52.152643 IP 10.11.25.227.1640 > 10.11.28.205.5678: . ack 3004 win 17445
00:01:52.747558 IP 10.11.25.227.1640 > 10.11.28.205.5678: R 217:217(0) ack 3004 win 0
00:01:54.586767 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 253
00:01:54.590024 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 271
00:01:54.597329 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 325
00:01:54.601076 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 317
00:01:54.610308 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 247
00:01:54.624106 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 289
00:01:54.635031 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 321
00:01:54.652748 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 267
00:01:54.660014 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 319
00:01:54.663686 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 313
00:01:54.666845 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 245
00:01:54.670320 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 288
00:01:54.674211 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 318
00:02:14.571589 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 253
00:02:14.571830 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 271
00:02:14.572158 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 325
00:02:14.572654 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 317
00:02:14.572980 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 247
00:02:14.573457 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 289
00:02:14.575030 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 321
00:02:14.576318 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 267
00:02:14.576668 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 319
00:02:14.578218 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 313
00:02:14.579307 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 245
00:02:14.579996 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 288
00:02:14.581136 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 318
00:02:34.578742 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 253
00:02:34.596383 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 271
00:02:34.615952 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 325
00:02:34.623117 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 317
00:02:34.623459 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 247
00:02:34.623947 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 289
00:02:34.624425 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 321
00:02:34.624752 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 267
00:02:34.625338 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 319
00:02:34.625681 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 313
00:02:34.626156 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 245
00:02:34.626630 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 288
00:02:34.627110 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 318
00:02:59.097898 arp who-has 10.11.27.227 (0a:0b:0a:0b:0a:0b) tell 10.11.28.205
00:02:59.098177 arp reply 10.11.27.227 is-at 00:13:8f:2d:1a:ea
00:02:59.100735 IP 10.11.28.205.1900 > 10.11.27.227.3715: UDP, length 323
00:03:02.117659 IP 10.11.28.205.1900 > 10.11.27.227.3715: UDP, length 323
00:03:05.118034 IP 10.11.28.205.1900 > 10.11.27.227.3715: UDP, length 323
00:03:14.584569 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 253
00:03:14.585179 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 271
00:03:14.585530 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 325
00:03:14.586770 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 317
00:03:14.597938 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 247
00:03:14.603635 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 289
00:03:14.603980 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 321
00:03:14.609253 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 267
00:03:14.609616 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 319
00:03:14.609945 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 313
00:03:14.610256 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 245
00:03:14.610591 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 288
00:03:14.610918 IP 10.11.28.205.1900 > 239.255.255.250.1900: UDP, length 318

SSDP

http://support.microsoft.com/default.as ... -us;317843

На днях в логах нескольких свичей (DES-3526) появилась запись о возможной атаке:
>> Possible spoofing attack from 00-1B-11-03-3C-XX port 25
при етом данный мак - мак адрес свича, загрузка цпу свича в 1,5-2 раза увеличилась, иногда свич не отвечает на пинг и снмп..
Обаненты работают в отдельном влане с 25м портом (доступа к управляющему влану и интерфейсу свича не имеют)
Вопрос: как бороться c данной проблеммой?

Device Type DES-3526
External Ports 1000LX_GBIC + 1000TX
MAC Address 00:1b:11:03:3c:XX
Boot PROM Version 3.00.008
Firmware Version 5.01-B14
Hardware Version 0A3G

у вас петля.
ответ: искать и устранять.

_________________
LiveComm

config arp_spoofing_prevention add gateway_ip x.x.x.x gateway_mac xx:..xx

расскажите уважаемые как сие работает.
и работает ли в принципе.

в доках и в гугле - тишина

ну оно вроде бы еще не должно работать, а по идее вообще не будет пропускать арп ответы в которых содержимое - ИП и Мак гейтвея.

а господа из Длинка что скажут?
так сказать офф ответ

Пока ничего не скажем, потому что функция не доделана. Будет в релизе.

а примерные сроки до релиза?
сентябрь \ след год ...

Август.

Зря вы все говорите только про вирус, вот здесь http://www.oxid.it/cain.html лежит софт, которим какраз можно снифить кого угодно в локалке методом арп спуфинга, я сам отснифил кучу паролей юзеров в сети, полностю помагает от нее только статическая арп таблица у клиента, или блокировка арп ответа с ІР адресом роутера, привязка IP-MAC-PORT_ACL_STRICT не дает хацкеру проснифить жертву , но мак роутера у жертвы меняется. Кому надо качайте и експериментируйте.

А вот как выглядет атака в езериале Все начинается с 32-й строки и заканчивается 35-й отфильтровывать на порту нужно то что в 34-й

На самом деле это только частный случай.

Последствия апр спуфинга таковы:

1. Тот хост которого спуфят теряет гейт. - Пакеты с неправильным содержимым.
2. Если спуфер пытается работать от мака гейта то коммутатор может потерять порт с гейтом. (И соответственно пакеты уже будет слать не обманутый комп а обманутый коммутатор). - Пакеты не от валидного мака.
3. Если спуфер испльзует перебор маков то возможно переполнение таблицы коммутатора. - Вполне валидные пакеты от большого количества маков.

Как защититься?

1. ACL / IP-MB strict / ARP-Spoofing Prevention.
2. ACL / Static FDB
3. Max. Learning Adress / Static FDB

И вот здесь вылезают проблемы, при смене маршрутизатора или адресации в сети, в тех пунктах где участвовал мак или IP маршрутизатора придется перенастраивать.

В итоге что предпочтительнее:

1. IP-MB strict (немного непонятно как она поведет себя в режиме DHCP-Snoop+Opt82)
2. В принципе неважно что менять придется и то и другое.
3. Однозначно Max Learn Adress.

PS Плюс еще остается (или нет?) вариант чтобы подспуфить таблицу коммутатора, заставить подумать что мак кого либо другого подключенного к коммутатору на твоем порту.

а вообще данная функция предполагается, что будет выполнять тот же функционал, что описан тут? http://www.dlink.ru/technical/faq_hub_switch_115.php

Как только будет полное описание сразу сообщим.