генерация маков в сети
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
генерация маков в сети - 2011-11-30 16:18:27.873333
|
|
|
svoy_it
Сообщений: 5
Оценки: 0
Присоединился: 2011-11-30 16:06:13.613333
|
Добрый день
в сети (ИСП) наблюдаю странное появление маков на портах свича, на которых должен быть только один мас абонента. Появляющиеся левые маки отличаются друг от друга только несколькими позициями (средние или последние пары цифр).
Кто нибуть знает точную причину этих аномалий? понятно, что его природа вирусная (абоненты далекие от техники), но есть сомнения в нахождении вируса. Попадалась инфа, что маки генерятся на компе жертвы, а не на зараженном..
00:1c:5b:9d:21:00 (0)
00:1c:46:47:21:00 (0)
00:1c:3d:df:21:00 (0)
00:1c:38:0f:21:00 (0)
00:1c:35:73:21:00 (0)
00:1c:31:15:21:00 (0)
00:1c:31:08:21:00 (0)
00:1c:28:3b:21:00 (0)
00:1c:25:c9:21:00 (0)
00:1c:1f:b0:21:00 (0)
00:1c:13:e1:21:00 (0)
00:1c:0d:aa:21:00 (0)
00:1c:03:8c:21:00 (0)
ec:6f:6d:2c:48:eb (0)
ec:6f:67:dc:48:eb (0)
04:a3:4a:d2:01:00 (0)
00:1c:0d:37:21:00 (0)
d4:b1:52:b1:91:2d (0)
00:22:2a:33:21:01 (0)
00:1c:8f:45:21:00 (0)
00:1c:82:7d:11:00 (0)
00:1c:82:7d:11:00 (0)
00:1c:76:ef:21:00 (0)
00:1c:72:b1:21:00 (0)
00:1c:6a:42:21:00 (0)
00:1c:60:50:21:00 (0)
00:1c:56:c1:21:00 (0)
00:1c:54:51:21:00 (0)
00:1c:4e:c2:21:00 (0)
|
|
|
|
|
RE: генерация маков в сети - 2011-11-30 16:21:41.766666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
А комп жертвы и зараженный это не одно и то же?
Ну генерятся и генерятся - проверьте комп клиента и все узнаете.
|
|
|
|
|
RE: генерация маков в сети - 2011-11-30 17:14:50.600000
|
|
|
svoy_it
Сообщений: 5
Оценки: 0
Присоединился: 2011-11-30 16:06:13.613333
|
встречал такую инфу на форумах, симптомы очень похожи
Заражается как бы две машины, создается связка, исполнитель и жертва.
Если исполнитель включен, то при включении компа жертвы, та пробрасывает браткастовый пакет,
исполнитель получает пакет, и плюется пакетом с таким же маком.
Когда пакет попадает на коммутатор, то в таблице мак адресов, возникает две записи,
реальная указывающая на порт жертвы и левая указывающвя на порт исполнителя.
брали компы 2 таких абонентов, в спешке просмотрели, полечили, на операционном столе проблем не нашли. После процедур у одного компа симптомы пропали, у второго проявились практически сразу же после возвращения на место.
|
|
|
|
|
RE: генерация маков в сети - 2011-12-08 17:34:59.806666
|
|
|
svoy_it
Сообщений: 5
Оценки: 0
Присоединился: 2011-11-30 16:06:13.613333
|
появилась доп.информация (хотя кому я это пишу?)
просматривал логи DHCP-сервера и увидел такие записи:
Dec 8 15:12:04 gw2 dhcpd: DHCPNAK on 172.16.10.119 to 48:5b:39:ad:64:44 via vlan2
Dec 8 15:12:05 gw2 dhcpd: DHCPOFFER on 172.16.0.208 to 48:5b:39:ad:64:44 (pc2009ddd) via vlan2
Dec 8 15:12:05 gw2 dhcpd: DHCPINFORM from 172.16.11.5 via vlan2: unknown subnet for client address 172.16.11.5
Dec 8 15:12:06 gw2 dhcpd: DHCPINFORM from 172.16.16.112 via vlan2: unknown subnet for client address 172.16.16.112
Dec 8 15:12:14 gw2 dhcpd: DHCPINFORM from 172.16.10.119 via vlan2: unknown subnet for client address 172.16.10.119
Dec 8 15:12:17 gw2 dhcpd: DHCPREQUEST for 172.16.19.214 from e8:11:32:9d:b4:84 via vlan2: wrong network.
Dec 8 15:12:17 gw2 dhcpd: DHCPNAK on 172.16.19.214 to e8:11:32:9d:b4:84 via vlan2
Dec 8 15:12:20 gw2 dhcpd: DHCPINFORM from 172.16.19.214 via vlan2: unknown subnet for client address 172.16.19.214
Dec 8 15:12:25 gw2 dhcpd: DHCPINFORM from 172.16.11.140 via vlan2: unknown subnet for client address 172.16.11.140
Dec 8 15:12:41 gw2 dhcpd: DHCPINFORM from 172.16.19.186 via vlan2: unknown subnet for client address 172.16.19.186
Dec 8 15:12:58 gw2 dhcpd: DHCPINFORM from 172.16.10.12 via vlan2: unknown subnet for client address 172.16.10.12
таких сетей у меня нет. начал пробивать маки на принадлежность к моей сети - левые. начал искать по свичам - всплыл порт с кучей левых маков, первой мыслю было - левая сетка включилать, но … нашел системетичность в некоторых маках и вспомнил о неведомой проблеме, с чего начинался этот топик.
гуглеж по DHCPINFORM кивает на кривую сборку винды и WPAD, шторм в сети, но ни слова о куче левых маков..
К сожалению на том доме неуправляемый свич и вычислить квартиру сложно, но можно..
Вопрос тотже - что за хрень творится на компах абонентов?
|
|
|
|
|
RE: генерация маков в сети - 2011-12-12 13:25:18.070000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
ХЗ
Никто не поможет :)
|
|
|
|
|
RE: генерация маков в сети - 2011-12-12 17:36:39.230000
|
|
|
svoy_it
Сообщений: 5
Оценки: 0
Присоединился: 2011-11-30 16:06:13.613333
|
спасибо, я особо и не надеялся, но попробовать стоило.. :)
|
|
|
|
|
RE: генерация маков в сети - 2011-12-13 16:02:18.886666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
если решите - напишите хоть что было, а то ж интересно :)
|
|
|
|
|
RE: генерация маков в сети - 2011-12-14 13:23:59.346666
|
|
|
svoy_it
Сообщений: 5
Оценки: 0
Присоединился: 2011-11-30 16:06:13.613333
|
решил отключением от сети, линия оказалась неподписанной, вероятно из "мертвых" абонентов, которые достались в наследство.
Симптомы были следующие:
комп запрашивал адрес, получал его из 172.10.0.ХХ. А затем продолжал бомбить сервер запросами DHCPINFORM подстваляя левые маки и запрашивая информацию из других подсетей. Возможно была и другая деятельность, я поленился выезжать на место и снифать.
данный случай отличен от предыдущих, где фиксировал генерацию маков. Тогда DHCP никто не задрачивал, но видать также шли пакеты с левыми маками
|
|
|
|
|
|
