- Код: Выделить всё
Aug 28 15:59:57 gateway kernel: arp: 00:20:08:a3:4c:92 attempts to modify permanent entry for 192.168.0.12 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:8b:88:e2:4c:59 attempts to modify permanent entry for 192.168.0.44 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.191 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:c7:bd:a6:7c:79 attempts to modify permanent entry for 192.168.0.33 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.3 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:d3:a7:32:aa:6c attempts to modify permanent entry for 192.168.0.73 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:9e:32:db:a4:27 attempts to modify permanent entry for 192.168.0.78 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:52:fd:c8:f7:e5 attempts to modify permanent entry for 192.168.0.13 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.60 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.128 on local0 Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.130 on local0
На серваке (фря 6,2) сделана привязка всей 192,168,0,0/24. Таких маков штатно замечено не было.
Такое уже было, но был один мак (клиент вычислен, отключен).
Сейчас есть примерное направление поисков, но такие атаки - неожиданны, и продолжаются от нескольких секунд до 2-3 минут.
Сеть построена на неуправляемом оборудовании, но скоро будет закуплен д-линк 2112 (26) для колец. (есть выбор между 2112 (26) и 3526).
Какие есть варианты решения, кроме сидеть круглые сутки на серваке, а при наступлении атаки отключать сегменты?