ARP и вирусы, Wacum, 11-Сен-04, 16:27 [смотреть все] Хотелось бы понять - на сколько верно утверждение, что в больших сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)? Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если тем самым они сами себе осложнят работу. |
- ARP и вирусы, edwin, 14:04 , 13-Сен-04 (1)
> Хотелось бы понять - на сколько верно утверждение, что в больших >сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать >переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)? > Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое >число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если >тем самым они сами себе осложнят работу. Это как посмотреть. Переполнение ARP это вешь интерестная. Например у тебя сеть, построенная на свиче. При большом числе ARP запросов большинство свичей низкого и среднего качества начинают работать как хабы ;( И ты можеш спокойно слушать сеть и воровать пароли. Перехватывать сеансы и др. В общем широкие возможности открываются. - ARP и вирусы, Maxim Kuznetsov, 14:08 , 13-Сен-04 (2)
> Хотелось бы понять - на сколько верно утверждение, что в больших >сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать >переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)? > Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое >число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если >тем самым они сами себе осложнят работу. в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win ;-) Скажется это впрочем только на производительности - резко возрастёт кол-во ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и серверах поддержку Large-ARP-Table или arpd. Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят сеть
- ARP и вирусы, Wacum, 17:25 , 18-Сен-04 (3)
>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win >;-) Скажется это впрочем только на производительности - резко возрастёт кол-во >ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем >смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и >серверах поддержку Large-ARP-Table или arpd. > >Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят >сеть Спасибо за ответы. Что-то начинает проясняться. Мой вопрос был вызван тем, что я стал частенько получать на шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table такой эффект может получаться в результате большого числа arp-запросов, которые генерируются в результате сканнирования сети вирусами. Включение Large-ARP-Table помогло, но осадок остался :)
- ARP и вирусы, mutronix, 10:45 , 27-Сен-04 (4)
>>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win >>;-) Скажется это впрочем только на производительности - резко возрастёт кол-во >>ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем >>смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и >>серверах поддержку Large-ARP-Table или arpd. >> >>Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят >>сеть > Спасибо за ответы. Что-то начинает проясняться. > Мой вопрос был вызван тем, что я стал частенько получать на >шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table >такой эффект может получаться в результате большого числа arp-запросов, которые генерируются >в результате сканнирования сети вирусами. > Включение Large-ARP-Table помогло, но осадок остался :) у меня проблема с Neighbour table overflow имела место быть на Fedora Core 2, лечилась увеличением arp таблицы (google форэва :)
- ARP и вирусы, Maxim Kuznetsov, 10:56 , 27-Сен-04 (5)
>>>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win >>>;-) Скажется это впрочем только на производительности - резко возрастёт кол-во >>>ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем >>>смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и >>>серверах поддержку Large-ARP-Table или arpd. >>> >>>Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят >>>сеть >> Спасибо за ответы. Что-то начинает проясняться. >> Мой вопрос был вызван тем, что я стал частенько получать на >>шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table >>такой эффект может получаться в результате большого числа arp-запросов, которые генерируются >>в результате сканнирования сети вирусами. >> Включение Large-ARP-Table помогло, но осадок остался :) > >у меня проблема с Neighbour table overflow имела место быть на Fedora >Core 2, лечилась увеличением arp таблицы (google форэва :) forewer во первых ядро - в документации и при настройке там чётко написанно для чего большие arp таблицы и как ими пользоваться ;-) Внимательнее надо настраивать систему ;-))
|