Arp-spoofing. Новая эпидемия?

[drb 0]

В последние дни в сети появились некоректные ARP ответы типа

 

13:42:43.145978 arp reply 192.168.0.12 is-at 0:2:44:81:aa:4f

13:42:43.147464 arp reply 192.168.0.15 is-at 0:2:44:81:aa:4f

13:42:43.147947 arp reply 192.168.2.16 is-at 0:2:44:81:aa:4f

13:42:43.148437 arp reply 192.168.2.20 is-at 0:2:44:81:aa:4f

13:42:43.148924 arp reply 192.168.2.21 is-at 0:2:44:81:aa:4f

13:42:43.149420 arp reply 192.168.0.22 is-at 0:2:44:81:aa:4f

13:42:43.150891 arp reply 192.168.2.23 is-at 0:2:44:81:aa:4f

13:42:43.152361 arp reply 192.168.0.24 is-at 0:2:44:81:aa:4f

13:42:43.153836 arp reply 192.168.2.25 is-at 0:2:44:81:aa:4f

13:42:43.154325 arp reply 192.168.2.26 is-at 0:2:44:81:aa:4f

13:42:43.154813 arp reply 192.168.5.27 is-at 0:2:44:81:aa:4f

13:42:43.155309 arp reply 192.168.2.28 is-at 0:2:44:81:aa:4f

13:42:43.155800 arp reply 192.168.2.29 is-at 0:2:44:81:aa:4f

13:42:43.157271 arp reply 192.168.0.31 is-at 0:2:44:81:aa:4f

13:42:43.158738 arp reply 192.168.5.32 is-at 0:2:44:81:aa:4f

13:42:43.160214 arp reply 192.168.5.37 is-at 0:2:44:81:aa:4f

13:42:43.161689 arp reply 192.168.0.39 is-at 0:2:44:81:aa:4f

 

В результате трафик на все вышеуказанные IP идет на машину с МАС 0:2:44:81:aa:4f и сеть соответственно не работает.

Думал кто-то истользует активный снифер а арп-спуфингом. Но оказалось что источник проблеммы не один а около десятка компов.

Антивирусы с обновленными базами на некоторых находят разные вирусы а на некоторых нет.

У кого такое было? Как боротся?

[dell 21]

Эпидемия началась в ночь на понедельник. После обнаружения сразу рубим больного на порту, благо оборудование все управляемое. Самое интересное, что есть подозрения на ручное инфицирование первых зараженных. Распространяется активно только в своем сегменте. В одном где 250 тел, ифицировано 13, в другом где чуть больше 200 инфицированных 2. Зараза arp8023.sys сильно мерзопакостная и здорово ложит сеть.

[drb 0]

А чем лечишь? Есть готовая заплатка?

[XoRe 0]

Хммм.

Ищем владельца мак адреса 0:2:44:81:aa:4f, отрубаем от сети и даем люлей по вкусу.

Проблем не вижу )

[drb 0]

Ищем владельца мак адреса 0:2:44:81:aa:4f, отрубаем от сети и даем люлей по вкусу

 

Если сеть из 10-ти компов в одном доме то проблем нет)) А если 800 компов по всему городу? Только сегодня появилось 20 новых зараженных компов. Проблема в том что даже один кладет всю сеть.

 

И не факт что ответы 13:42:43.145978 arp reply 192.168.0.12 is-at 0:2:44:81:aa:4f генерирует 0:2:44:81:aa:4f

[dell 21]

Вирусня вроде мак не подделывает, так бы мне snmp трапы приходили.

Действительно один заразный комп ложит весь сегмент, приходится очищать арпы и быстренько лезть на нужный свитч порт вырубать.

[drb 0]

А как вирус называется? По arp8023 ничего толком не нашел. AVP на зараженом компе пока ничего не ловит.

[Jon 41]

Это все фигня.

А как насчет распределенных атак вирусни на ДНС сервера. Вот это жир.

[XoRe 0]

И не факт что ответы 13:42:43.145978 arp reply 192.168.0.12 is-at 0:2:44:81:aa:4f генерирует 0:2:44:81:aa:4f

Конечноне факт.

Но не просто же так несколько компов генерируют arp ответы с этим мак адресом.

Надо колоть владельца этого мак адреса.

А там уже видно будет )

[lexx_ 0]

А по поводу DNS атак. У кого то такое было? А то у нас в сетке народ вирусняк подхватил.......и пошло поехало. Может кто знает где можно заплатку для этого дела найти, под Винду??

[Den_LocalNet 1 472]

лекарство не нашли - больных отсреляли

[lexx_ 0]

отстрелять то и всех так можно....но это не решение вопроса......

[Den_LocalNet 1 472]

почему же? спасение утопающих дело рук самих утопающих....

все 5 отключенных за флуд были без единого антивирусника и файрвола .... выводы сами делаем.... если человека не интересует собственная безопасность, то почему нас должно это волновать?

[drb 0]

Похоже на дыру в винде. Человек делает формат с: ставит по новой винду, а через час снова от него арп-спуфинг.

[dell 21]

Угу у нас такая же ерунда. Подмечены особо одаренные индивидуумы работающие на XP SP1 - они первые жертвы.

[drb 0]

Угу у нас такая же ерунда.

А какой вирус находит?

[wermer 26]

почему же? спасение утопающих дело рук самих утопающих....

все 5 отключенных за флуд были без единого антивирусника и файрвола .... выводы сами делаем.... если человека не интересует собственная безопасность, то почему нас должно это волновать?

Согласен полностью, но как это доказать пользователю?Он не имеет элементарной культуры обращения с компьютером и интернетом.Ему говорят ставь антивирусник, а в ответ а зачем?Ему говорят тебя за вирусы отключили, а в ответ это не моя забота вирусы, интернет ваш вот и ловите.Вы думаете что если он подаст на суд, то суд приймет решение в вашу пользу?Сильно сомневаюсь, так судей и адвокатов продвинутых в высоких технологиях не встречал.Но отключать все же нужно, правда разьяснив все и предупредив, а дальше что будет то будет.Страдать вся сеть и за пары тройки больных не должна

[Серенький 0]

почему же? спасение утопающих дело рук самих утопающих....

все 5 отключенных за флуд были без единого антивирусника и файрвола .... выводы сами делаем.... если человека не интересует собственная безопасность, то почему нас должно это волновать?

Согласен полностью, но как это доказать пользователю?Он не имеет элементарной культуры обращения с компьютером и интернетом.Ему говорят ставь антивирусник, а в ответ а зачем?Ему говорят тебя за вирусы отключили, а в ответ это не моя забота вирусы, интернет ваш вот и ловите.Вы думаете что если он подаст на суд, то суд приймет решение в вашу пользу?Сильно сомневаюсь, так судей и адвокатов продвинутых в высоких технологиях не встречал.Но отключать все же нужно, правда разьяснив все и предупредив, а дальше что будет то будет.Страдать вся сеть и за пары тройки больных не должна

Вируснявый компьютер - это уже угроза сети. Только за это можно смело рубать. А в договоре должен быть пунктик по этому поводу. Вот и все.

[wermer 26]

Ты попробуй ему это доказать.Пункт то есть, толку мало.Ты ему говоришь вирус, а он тебе что его нет.Его антивирусник мол не ловит.А то что вирус новый, или у него базы старые, или антивирусник такой хороший....ему пользователю по барабану впринципе.Ты должен ему дать интернет и все тут.У нас система автоматически локализирует пользователя в своем сегметне сети, сообщает ему.Вообщем все доходчиво и понятно.Но со многими пользователями сил более нет бороться.Я вижу только два выхода.Первый это самим все устанавливать(антивирусы, обновления,заплатки,ОС и т.д) и разумееться на шару =) кто же захочет платить, у него у юзера как всегда все в порядке и хотите денег на нем заработать =) Второй вариант, это просто разорвать договор с ним, оставить эти "сливки общества" своим конкурентам, пусть у них голова болит

[XoRe 0]

XP SP 1, отсутствие антивируса... весело у вас )

У ваших клиентов ещё не было вирусов, которые в инет лезут или спам рассылают?

Будут =)

 

У нас каждый 3 вирус в локалке сейчас в сеть лезет.

И юзеры просто имеют факты:

Или они ставят и обновляют антивирусы, или их счет будет уменьшаться на 1-10$ в день.

И никого не и*ет, что это делается против их воли.

IP адрес их, интернет они включили.

Все что идет с их компа - это их зона ответственности.

 

У нас даже самые упрямые ставят себе антивирус, после того как потеряют энную сумму денег.

 

Кстати

это не моя забота вирусы, интернет ваш вот и ловите

Кстати это как раз его забота.

Интернет не ваш, вы только предоставляете доступ к интернету.

А что делает там клиент, он делает по своей воле.

 

Для примера наш договор:

4.3. «Провайдер» оставляет за собой право временно отключать «Абонента» от узла связи в следующих случаях:

4.3.1. Передачи «Абонентом» по сети информации, оскорбляющей честь и достоинство пользователей или обслуживающего персонала локальной сети «Провайдера» и сети Internet;

4.3.2. Установленных фактов попытки порчи «Абонентом» аппаратных, программных средств, узловых машин «Провайдера» или других абонентов, например, путём умышленной рассылки компьютерных вирусов по сети «Провайдера» или сети Internet.

...

4.7. Ответственность «Провайдера» заканчивается на оконечном распределительном устройстве, установленном «Провайдером», к которому непосредственно подключен «Абонент».

 

И напоследок - незнание или неумение от ответственности не освобождают.

Слава богу, что сия мудрость у нас возведена в степень закона.

 

Разорвать договор - это кстати неплохая мысль.

Особенно насчет тех, кто много бухтит и мало платит.

 

А тем, кто согласен что-то делать со своим компом я бы предложил пойти навстречу.

Положить у себя на ftp дистрибутивы антивирусов, положить у себя на ftp обновляемые базы антивирусные.

 

Можно юзерам давать ещё что-нить типа такого:

http://elizovo.ru/cgi-bin/index.cgi?action...ads&cat=protect

Версия 1.5 закрывает все дырки windows, но на дает нормально лазать по шарам.

Версия 1.6 дает лазать по шарам, но открывает пару дырок.