Изпечатай

[flipz]

Напоследък има някакъв много смотан вирус, който сменя ип-то на компютъра с GW-а. Има ли начин да се защити по някакъв начин самият рутер.
Схема:

ruter
|slack12-eth0| ---lan---|pc|
и какво става в един момент пц-то излиза с ип-то на рутера.
аз лично го откривам с 'arping ruter-ip' след няколко req. излиза мак-а на машинката която е с променен адрес.

[plamen_f]

Много гадно ми звучи, дай име и нещо в повече?

[sverdlov]

Не е ли по-лесно да защитиш пц-то?

http://www.securityguy.org - там има едни 2 видеа как се защитава уин. За рутерчето - има начин да се защитиш от арп атака, като инсталираш решение мониториращо мак адресите за всяко ип и ако детектне промяна да оправя нещата, но не мисля че има смисъл ако имаш само едно пц, да се занимаваш с това. По-добре оправи бозата

[neter]

Аз не съм много вещ по дълбоко мрежови въпроси, но... как единствено със смяна на IP-то на Windows-ката машина, рутерът ти ще се предаде? Ако рутерът ти заема в момента някакво IP и дадена друга машина в мрежата опита да си го зададе, то ще се получи IP конфликт и втората машина няма да може да използва това IP, докато рутерът ще продължи да си функционира нормално. Това е, което съм видял, при наблюдение на подобни ситуации. Интересно ми е да разбера какво точно се е случило в случая '> Възможно е при възникването на такава ситуация аз да съм имал някаква защита на системата, за която не съм знаел (странно). Ако все пак е нужна някаква защита за това, то не съм съгласен, че само Windows-ката машина трябва да се защити. Трябва да се защитят и двете системи.

[sverdlov]

Предполага се че ако слагаш линукс за рутер, си го защитил доста добре... ако не си... е време да го направиш - затваряне на всички портове отвън, слагане на fwknop, аутентикация само със сертификати за ссхаша, и тн. Не мога да си представя как ще сложиш линукс за рутер без всичко (най-малкото) това. Иначе си има едни малки кутийчици за по 40 лв които вършат същата и по-добра работа за хора на които им трябва само рутерче.

[neter]

Е, това е ясно. Аз в момента въобще не се занимавам с рутери и мрежи (на миналата работа имах сериозна работа с мрежи), но защитите, които изброи плюс "т.н." си ги слагам и на другите видове сървъри, това са си златни правила. Въпросът е, че преди малко тествах и дали моята десктоп система ще се предаде (която въобще не е защитена, що се касае до мои действия за защита, понеже така и така си играя с какво ли не, стандартен sidux) като наслагах същото IP на всички машини в офиса (хехе) и резултатът беше нулев - единствено моята машина остана с връзка към света. Та... затова ми е интересно да разбера какво още прави този вирус. Интересът ми е информативен, искам да науча, не се заяждам '>

[flipz]

значи не става въпрос за 1 пц а да кажем повече .. не мисля, че е толкова необходимо да оточнявам бройката, за да се реализира или да ме посъветвате за нещо. случва се следното, когато някои си вдигне на своето пц, адресът който е на сървъра и е GW за мрежата.
започват да се увеличават пинговете + че интернета спира.
а този вирус, който не знам дори кои е точно .. се хваща прекалено лесно .. повечето пц-та който са имали този проблем са биле без антивирусна или такава с доста стари деф. проблема се решава с pppoe + layer 3 switch, но мен ме интерисува в случея, когато е по следният начин който описах по горе.

ruter eth0-if ----accport switch accport--- homepc-if
ip:1                                                       ip2

когато на homepc-if се сложи ip:1
и започва цяла тъпотия .. пробвал съм разни варианти, като perm -arp и тн .. но явно това нещо върти мрежата по някакъв начин .. може да вдига ип-та примерно ььь.ььь.ььь.ььь/24 или /21 не го знам ... просто горе долу така изглежда проблема.

а за тези следящи промяната на макове програмчета, нещо не можах да подкарам някое читаво.

интерисува ме реално предложение за конкретният случей ..