Форум портала Metropolis

Некоторое время назад был вынужден перейти на фаер Agnitum Outpost. Увидел море глюков, перематерился, но кое как настроил и жил полгода без особых пролем.

Сегодня началось странное дело.
в течение суток каждые 4 минуты выскакивает "Хост провозгласил себя шлюзом - блокировка".
Я знаком с делом, когда от избытка соединений DC++ с таким вердиктом блокируется IP шлюза (ни мак ни Ip не меняются, просто Аутпост решает что они изменились).
Но это что-то новенькое, DC++ не запущен, а с сетью общения почти нет, но смотрите:

18:14:25   Gateway network adapter changed.   10.23.12.220   00-19-5B-2F-A2-54
18:11:09   Gateway network adapter changed.   10.23.12.220   00-19-5B-2F-A2-54
18:08:08   Gateway network adapter changed.   10.23.12.220   00-19-5B-2F-A2-54
18:04:43   Gateway network adapter changed.   10.23.12.220   00-19-5B-2F-A2-54

При этом вот что выдает arp-a:
10.23.0.1             00-11-95-b0-fa-02
//шлюз

А теперь смотрю в сниффер arp-пакетов:
Source MAC: 00:11:95:B0:FA:02
Source IP: 10.23.0.1
//Это шлюз, понятно, за ним все внешние IP
//А теперь смотрю на адресатов (их много с таким маком)
Destination MAC: 00:19:5B:2F:A2:54
Destination IP: 10.23.26.160, 10.23.28.133, 10.23.23.15, 10.23.26.178 и т.д.

Т.е. я правильно понимаю, все пакеты от шлюза к юзеру, что не предназначены мне, определяются как 00:19:5B:2F:A2:54?
Я не в курсе, это нормально?
Или я наблюдаю спуфинг где фальшивый шлюз для указанных IP имеет мак 00:19:5B:2F:A2:54.

Если так сеть и должна работать(я раньше просто этим не интересовался, извините уж), почему именно сейчас начал сходить с ума Аутпост?


И более того, чтобы убедиться что это просто реальная тачка на windows NT:
17:40:27   NETBIOS   IN REFUSED    UDP   10.23.12.220   NETBIOS_DGM   Block NetBIOS Traffic
17:34:27   NETBIOS   IN REFUSED    UDP   10.23.12.220   NETBIOS_DGM   Block NetBIOS Traffic
17:46:34   NETBIOS   IN REFUSED    UDP   10.23.12.220   NETBIOS_DGM   Blocked by Ethernet attack detector
17:48:24   NETBIOS   IN REFUSED    UDP   10.23.12.220   NETBIOS_DGM   Blocked by Ethernet attack detector
Я думаю, по NETBIOS ломится его Computer Browser, который не фильтруется в пределах сегмента. Если так, то что означает "провозгласил сбя шлюзом"?


Что это?
Спуфинг?
Или глюк Агнитума (который полгода не проявлялся)
Скажите, чего я не понимаю?

Как бороться, чтобы при авто-блокировке этого добра не отваливалась сеть?
Попробовал сделать привинтивное правило - все запросы от 10.23.12.220 игнорировать, анализатору атак не передавать. не помогает - Агнитум все так же блокирует сеть со ссылкой на этот IP в строке причины.


P.S.
Сейчас отпустило, пишу уже 10 минут не отваливаясь от сети....
я не понимаю этого...

Вот именно из-за этого засранца и существуют такие глюки в 23-м сегменте.

Провозглашение себя шлюзом нужно для пропускания через комп трафика попавшихся на удочку. Много IP адресов просто потому, что он их перебирает, да и MAC сменён. Когда товарища поймают наконец - сетевой кабель не просто обрежут, а из квартиры выдернут.

 8-[ хале ну и каша у тебя в голове
если вкратце - это косяк аутпоста. вообще этот фиреволл хороший но с характером.
солюшен - настроить attack detector, ру-боард.ком там все есть особенно про глюки аутпоста, поставить настройки в статик и прописать шлюз руками, еще вариант используя arp захардкодить маппинг 10.x.0.1 на нужный мак.

P/s/ а еще он может блочить траффик и при отключенной основной службе(или даже при правилах allow all), затрудняюсь объяснить почему возможно особенность сетевых драйверов в nt

Swein, уверен?
Просто в 23-м сегменте действительно идёт постоянное левое dhcp-вещание с подменой IP и прочей байдой. Утомились уже этого кулхацкера вычислять.

не я ответил только на аутпост..
в общем бороться по идее должен антхилл а так ставишь в статик и забываешь о проблеме

да-да - каша в голове, потмоу что я не могу понять, где ложь аутпоста, а где реальность.

Я уже говорю, это видимо еще один глюк аутпоста с которым я не сталкивался. До сих пор он обвинял только IP шлюза, я почти привык.

про глюк блока трафика я тоже знаю. И никогда его не пользовал. Потому что эта падла иногда блочила даже то, чего блочить нельзя было по его же правилам. Например года два назад играл в Ragnarok - просто нагло блочил все трансферы апдейтов по ФТП, иногда блочил логин, ну и до кучи.
Ну просто вынужден я его юзать на win2003 (поставил себе на зло)
Отправлено: 03 Августа 2007, 03:08

---

А вот по поводу MAC - это что-то для меня не известное.
Я брал логи со сниффера.
И я могу это объяснить двумя вещами:
1)я ничего ен понимаю в работе управляемых свичей и маршрутизаторов и единый мак на все входящие "не мои" пакеты - этопросто специфика его работы.
2)это чертов кулхацкер со спуф-сервером.
Отправлено: 03 Августа 2007, 03:12

---

Да, и спасибо за наводку на плюгины. завтра покопаю.
Отправлено: 03 Августа 2007, 03:17

---

З.Ы. Клалофудо, смотрю на аватар, вспоминается подпись: "A beginning is a very delicate time. Know then that..." дальше подставить по вкусу :-)

0) :no: получать "не свои" пакеты ты не можешь,те где адресат по маку (не_вcе || не_ты) до тебя просто не дойдут..
арп как раз шлет хитро составленные ethernet пакеты всем чтобы резолвить ип адреса
про арп тут ) http://www.citforum.ru/nets/tcpip/index.shtml

1) хост провозгласил сибя шлюзом (в моем понимании) -

2)аутпост это отдельная история, бороться следует вначале без него... либо хорошеньго его обесточив ) про повадки - ру-боард

http://www.agnitum.com/support/kb/article.php?id=1000193&lang=en

0) хмм... это только ради резолва такой сыр-бор с подставными маками? /me shocked Но это не бродкасты(как я понял). Бродкасты я просто отфильтровал, а ресолв в пустую таблицу должен вроде проходить от бродкаста. да и свич за несколько часов, по идее, всех отресолвить должен был, а ИПы у нас не меняются.
1) а)ручная конфигурация, не люблю пользоваться дхчп, когда он не нужен. особенно как он живет в антхилле. б)вполне возможно. но с чего бы?
2)да-да... еще руки до плюгинов не дошли, только монитор новый купил, еще от впечатлений не отошел... а технологию я представляю. потому сразу подозрения и закрались.