URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1594
[ Назад ]

Исходное сообщение
"ARP и вирусы"
Отправлено Wacum , 11-Сен-04 16:27

Хотелось бы понять - на сколько верно утверждение, что в больших сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)?
Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если тем самым они сами себе осложнят работу.

Содержание

ARP и вирусы,edwin, 14:04 , 13-Сен-04
ARP и вирусы,Maxim Kuznetsov, 14:08 , 13-Сен-04
- ARP и вирусы,Wacum, 17:25 , 18-Сен-04
  - ARP и вирусы,mutronix, 10:45 , 27-Сен-04
    - ARP и вирусы,Maxim Kuznetsov, 10:56 , 27-Сен-04

Сообщения в этом обсуждении

"ARP и вирусы"
Отправлено edwin , 13-Сен-04 14:04

> Хотелось бы понять - на сколько верно утверждение, что в больших
>сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать
>переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)?
> Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое
>число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если
>тем самым они сами себе осложнят работу.
Это как посмотреть.
Переполнение ARP это вешь интерестная.
Например у тебя сеть, построенная на свиче.
При большом числе ARP запросов большинство свичей низкого и среднего
качества начинают работать как хабы ;(
И ты можеш спокойно слушать сеть и воровать пароли.
Перехватывать сеансы и др.
В общем широкие возможности открываются.

"ARP и вирусы"
Отправлено Maxim Kuznetsov , 13-Сен-04 14:08

> Хотелось бы понять - на сколько верно утверждение, что в больших
>сетях (таких, например, как домашние) многочисленныев ARP-запросы, генерируемые вирусами способны вызвать
>переполнение ARP-кэша(либо на клиентской машине, либо на коммутаторе)?
> Верно ли то, что некоторые последние постLovesan'cкие вирусы способны генерировать большое
>число ARP-запросов (включая подложные)? Непонятно - зачем им такая функциональность, если
>тем самым они сами себе осложнят работу.
в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win ;-) Скажется это впрочем только на производительности - резко возрастёт кол-во ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и серверах поддержку Large-ARP-Table или arpd.
Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят сеть

"ARP и вирусы"
Отправлено Wacum , 18-Сен-04 17:25

>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win
>;-) Скажется это впрочем только на производительности - резко возрастёт кол-во
>ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем
>смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и
>серверах поддержку Large-ARP-Table или arpd.
>
>Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят
>сеть
Спасибо за ответы. Что-то начинает проясняться.
Мой вопрос был вызван тем, что я стал частенько получать на шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table такой эффект может получаться в результате большого числа arp-запросов, которые генерируются в результате сканнирования сети вирусами.
Включение Large-ARP-Table помогло, но осадок остался :)

"ARP и вирусы"
Отправлено mutronix , 27-Сен-04 10:45

>>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win
>>;-) Скажется это впрочем только на производительности - резко возрастёт кол-во
>>ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем
>>смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и
>>серверах поддержку Large-ARP-Table или arpd.
>>
>>Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят
>>сеть
> Спасибо за ответы. Что-то начинает проясняться.
> Мой вопрос был вызван тем, что я стал частенько получать на
>шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table
>такой эффект может получаться в результате большого числа arp-запросов, которые генерируются
>в результате сканнирования сети вирусами.
> Включение Large-ARP-Table помогло, но осадок остался :)
у меня проблема с Neighbour table overflow имела место быть на Fedora Core 2, лечилась увеличением arp таблицы (google форэва :)

"ARP и вирусы"
Отправлено Maxim Kuznetsov , 27-Сен-04 10:56

>>>в "больших" сетях переполнить ARP кеш способен самый известный вирус - MS-Win
>>>;-) Скажется это впрочем только на производительности - резко возрастёт кол-во
>>>ARP-запросов.. Впрочем у современного, даже дешёвого оборудования кэша более чем достаточно(впочем
>>>смотрите тех.документацию), а вот некоторые админы забывают добавлять на шлюзах и
>>>серверах поддержку Large-ARP-Table или arpd.
>>>
>>>Вирусы не генерят сами ARP-запросы - они просто пытаются размножится и сканят
>>>сеть
>> Спасибо за ответы. Что-то начинает проясняться.
>> Мой вопрос был вызван тем, что я стал частенько получать на
>>шлюзе ошибку "Neighbour table overflow". Знакомые утвержают, что при отключенном Large-ARP-Table
>>такой эффект может получаться в результате большого числа arp-запросов, которые генерируются
>>в результате сканнирования сети вирусами.
>> Включение Large-ARP-Table помогло, но осадок остался :)
>
>у меня проблема с Neighbour table overflow имела место быть на Fedora
>Core 2, лечилась увеличением arp таблицы (google форэва :)
forewer во первых ядро - в документации и при настройке там чётко написанно для чего большие arp таблицы и как ими пользоваться ;-)
Внимательнее надо настраивать систему ;-))