mavka писал(а):
наблюдается такая проблема в сети. У некоторых клиентов временами пропадает шлюз. На шлюзе не видно мак-адреса клиента.
Если же вклиниться между клиентом и шлюзом то по тспдампу можно увидеть запросы arp request от шлюза, но arp-reply от клиента не видно.
(Если же будете говорить что я и не должна видить ответы на шлюз, то к себе ответов репли тож не было. то есть я от себя пускала пинг, видела свои запросы а ответов не было)
Так от вопрос. Может ли что ограничивать арпы (таймауты, кеш и тп) и где это посмотреть, проверить?
На клиентском порту никаких биндингов и аксеслистов нет. Мак на свичах есть, но арп-ответы не ходят
спасибо за советы
скорее всего у вас в сегменте бушует вирус Alman.
Внешние деструктивные действия проявляются в подстановке зараженному компьютеру IP-адреса других компьютеров, в том числе адреса шлюза по-умолчанию. Из-за данных действий происходит перенаправление трафика пользователей подсети (подсеть с зараженным компьютером) на зараженный компьютер, где информация, полученная в итоге подстановок IP-адресов, собирается и отправляется на определенные адреса в интернет.
В итоге из-за перенаправления трафика у пользователей происходят частые обрывы связи и отказ в обслуживании шлюза.
Для обнаружения зараженного компьютера, если у вас ведется база MAC адресов клиентов, необходимо выполнить в данном сегменте "ip neigh" и посмотреть повторяющиеся MAC адреса, у которых будет изменяться IP. Потом просто берете этот MAC и находите у себя в базе какому клиенту он принадлежит, а потом принимаете меры.
Вход
Регистрация
FAQ
Поиск
