 ARP и вирусы,  Wacum, 11-Сен-04, 16:27 [смотреть все] Хотелось бы понять - на сколько верно утверждение, что в больших сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)?
Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если тем самым они сами себе осложнят работу. |
- ARP и вирусы, edwin, 14:04 , 13-Сен-04 (1)
> Хотелось бы понять - на сколько верно утверждение, что в больших
>сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать
>переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)?
> Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое
>число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если
>тем самым они сами себе осложнят работу.
Это как посмотреть.
Переполнение ARP это вешь интерестная.
Например у тебя сеть, построенная на свиче.
При большом числе ARP запросов большинство свичей низкого и среднего
качества начинают работать как хабы ;(
И ты можеш спокойно слушать сеть и воровать пароли.
Перехватывать сеансы и др.
В общем широкие возможности открываются. - ARP и вирусы, Maxim Kuznetsov, 14:08 , 13-Сен-04 (2)
> Хотелось бы понять - на сколько верно утверждение, что в больших
>сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать
>переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)?
> Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое
>число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если
>тем самым они сами себе осложнят работу. в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win ;-) Скажется это впрочем только на производительности - резко возрастёт кол-во ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и серверах поддержку Large-ARP-Table или arpd. Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят сеть
- ARP и вирусы, Wacum, 17:25 , 18-Сен-04 (3)
>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win
>;-) Скажется это впрочем только на производительности - резко возрастёт кол-во
>ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем
>смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и
>серверах поддержку Large-ARP-Table или arpd.
>
>Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят
>сеть
Спасибо за ответы. Что-то начинает проясняться.
Мой вопрос был вызван тем, что я стал частенько получать на шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table такой эффект может получаться в результате большого числа arp-запросов, которые генерируются в результате сканнирования сети вирусами.
Включение Large-ARP-Table помогло, но осадок остался :)
- ARP и вирусы, mutronix, 10:45 , 27-Сен-04 (4)
>>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win
>>;-) Скажется это впрочем только на производительности - резко возрастёт кол-во
>>ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем
>>смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и
>>серверах поддержку Large-ARP-Table или arpd.
>>
>>Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят
>>сеть
> Спасибо за ответы. Что-то начинает проясняться.
> Мой вопрос был вызван тем, что я стал частенько получать на
>шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table
>такой эффект может получаться в результате большого числа arp-запросов, которые генерируются
>в результате сканнирования сети вирусами.
> Включение Large-ARP-Table помогло, но осадок остался :) у меня проблема с Neighbour table overflow имела место быть на Fedora Core 2, лечилась увеличением arp таблицы (google форэва :)
- ARP и вирусы, Maxim Kuznetsov, 10:56 , 27-Сен-04 (5)
>>>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win
>>>;-) Скажется это впрочем только на производительности - резко возрастёт кол-во
>>>ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем
>>>смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и
>>>серверах поддержку Large-ARP-Table или arpd.
>>>
>>>Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят
>>>сеть
>> Спасибо за ответы. Что-то начинает проясняться.
>> Мой вопрос был вызван тем, что я стал частенько получать на
>>шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table
>>такой эффект может получаться в результате большого числа arp-запросов, которые генерируются
>>в результате сканнирования сети вирусами.
>> Включение Large-ARP-Table помогло, но осадок остался :)
>
>у меня проблема с Neighbour table overflow имела место быть на Fedora
>Core 2, лечилась увеличением arp таблицы (google форэва :)
forewer во первых ядро - в документации и при настройке там чётко написанно для чего большие arp таблицы и как ими пользоваться ;-)
Внимательнее надо настраивать систему ;-))
|
Версия для распечатки
