Net problem again?

DragonK · Postby **DragonK** » Sat Jun 12, 2004 8:12 pm

Salut!

Vad ca de doua zile cel putin netul se intrerupe periodic cam la un minut, ma rog, variaza, timp in care nu mai primesc decat traficul din LAN (asta am observat mai ales seara). Mai pateste cineva asa? Care-i problema? :roll:

garbie · Postby **garbie** » Sat Jun 12, 2004 9:25 pm

Da si eu am vazut ca mai cade netul destul de des.

Am mai observat ceva si la mine si la un amic din retea : multe atacuri cu Backdoor.Rbot.gen (un vierme pe care Nav il vede ca W32.spybot) eu am Kaspersky AV Pro. Nu stiu ce sa zic.

DragonK · Postby **DragonK** » Sat Jun 12, 2004 9:35 pm

Dar nu numai "cade", ci e la pamant K.O.

... 10 secunde net, 20 silence...

costin · Postby **costin** » Sun Jun 13, 2004 9:38 pm

Un revers-dns pe actualul nostru ip returneaza politiaregie.pub.ro, insa un request dns direct spune ca nu stie cine are acest url. Este posibil ca in roedu cineva sa fi facut varza baza de date a serverului de dns si asta nu mai inseamna mare lucru, dar daca a alocat acelasi ip de doua ori? Asa cum merge netul acum se potriveste cu un ip-spoofing.
Se poate verifica asta?

victor · Postby **victor** » Sun Jun 13, 2004 10:30 pm

lansat intrebarea, maine avem raspunsul.

cineva · Postby **cineva** » Mon Jun 14, 2004 6:25 pm

Daca cineva se ocupa de reteaua asta ar bine sa ne spuna si noua daca stie sau nu ce se intampla cu 'netu, ca mai am putin si imi fac abonament la Romtelecom.
Multumesc

Dan · Postby **Dan** » Mon Jun 14, 2004 7:25 pm

johnkis wrote:AM inceput sa disper. Mai bine deloc decat asa cum e acum. 2 sec. din 5, netu nu merge. Nu poti sa folosesti Messenger-ul; pana descarci mailul te apuca toti dracii, de radio nici nu mai vorbesc... si cu toate acestea nu e nici un anunt pe acest forum care sa ne lamureasca si pe noi care-i treaba.

Problema tine de gramada de calculatoare virusate in retea care trimit arp requesturi in disperare. requesturile astea umplu tabela arp a serverului cu inregistrari invalide, motiv pentru care la un moment dat orice pachet,chiar valid, care vine este dropped pana cad se mai gaseste un locsor si pentru el. Solutia? - taiat netul pana la rezolvarea problemei pe calculatoarele respective. E o situatie similara blasterului din vara, e foarte greu sa convingi pe unii si alti ca au calculatorele varza si ca pana nu le rezolva nu vad net, cu atat mai mult cu cat click dreapta e o achizitie recenta.

Chstia cu politiaregie.pub.ro e adevarata insa nu am mai gasit nici un .93- Oricum DNS Roedu e o gradina zoologica undde zac tot felul de minunatzii.
Spor...

Dan · Postby **Dan** » Tue Jun 15, 2004 12:11 am

Ok am gasit si gargaritza raspunzatoare de kestia asta....Korgo se keama..detalii tehnice aici:

http://securityresponse.symantec.com/av ... rgo.f.html

Removal tools:
http://securityresponse.symantec.com/av ... .tool.html

alekx · Postby **alekx** » Tue Jun 15, 2004 11:57 am

Atunci scoate arp de pe interfata de LAN, si editeaza tabela manual

costin · Postby **costin** » Tue Jun 15, 2004 7:18 pm

Scos ARP inseamna dezactivarea traficului arp pe un eth, adica bidirectional. Daca este scos de pe server si configurat manual, macul serverului trebe pus manual in tabelele arp de pe fiecare sistem cu care vine in contact. Aka intreaga retea cu windosurile ei obosite.

Dan · Postby **Dan** » Tue Jun 15, 2004 8:47 pm

Nici vorba de editat aia manual. Mai exista o solutie care sa permita management la arp alea care vin in disperare, dar cea mai corecta mi se pare gatuirea statiilor cu probleme. Si asta pentru ca intotdeauna solutiile tehnice, oricat de complexe si bune ar fi ele nu rezolva problemele umane....

buge1880 · Postby **buge1880** » Tue Jun 15, 2004 11:54 pm

Deci,, rooterul care leaga retzeaua asta de exterior (10.128.0.1 nush daca e ala) e un server cu linux pe el sau e chiar un rooter(de ex rooter CISCO)????DNS-urile sunt tzinute pe rooter sau sunt gazduite de provaider sau sunt tzinute in alta parte?Faza cu ARP requestu' de care vb dupa parerea mea nu are nici un rost sa ingreuneze traficul(e locala ) si nu are legatura cu rooterul.Faza cu un virus care mananca banda o mai inghit, da problema era ca netu se oprea 10-15 sec mergea alte 10-15 si tot asa.DNS-urile rezolvau adresele cerute deci nu era problema de nume.

buge1880 · Postby **buge1880** » Wed Jun 16, 2004 12:01 am

Sau mai bine zis ce inseamna la voi ARP??!!Dreptul la net din cate stiu eu se da cu comenzi iptables pe server(rooter).Sau sunt si alte smecherii si n-am auzit yo de ele?
ARP=Address Resolution Protocol????
Sau editati tabela de rootare??!!:-O
Asa ca o concluzie personala la ce a fost dupa parerea mea lucrurile ar sta asa.In retzea intr-adevar au fost calculatoare virusate.Si eu am avut un w32.Netsky.B.In windows task manager(ctrl+alt+del) la networking aveam la Network Utilization aproape 1% ceea ce e extrem de mult.In mod obisnuit nu depasesc 0.05%.Deci o utilizare exagerata a benzii din cauza unui virus ar putea fi o explicatie.

Dan · Postby **Dan** » Wed Jun 16, 2004 2:12 am

Chestiunea cu arp requesturi e simpla:
1. Initierea conexiunii: vreau sa comunic cu ip x.y.z.t-> stiu adresa lui MAC? daca da ok, daca nu fac un arp request : adica un broadcast ff:ff:ff:ff:ff:ff pe layer 2 : in mometul asta toata lumea asculta ce intreaba statia respectiva : daca apare match de ip raspunde cu mac adress sau la sender, daca nu face discard la pachet.
2.Routerul - ca orice gateway trebuie sa aiba o interfatza in clasa de adrese pentru care face pe gateway-ul. Deci e din plin afectat si e local. Numarul mare de discarduri pe o masina care comunica deja cu cateva sute de statii o tin ocupata...asadar pachetele ajung la destinatie cu intarziere sau nu ajung inainte ca o statie oarecare sa considere dupa un timp ca acea conexiune nu se poata realiza. Rezultatele s-au vazut.

Dreptul la net se mai poate da cu route +/- ACL-uri de rigoare.
Discutia despre DNS a fost alta: reverse DNS spunea ca ip nostru public
se rezolva ca nume ca politiaregie.pub.ro. Intrebarea fireasca a lui costin a fost daca nu cumva acest ip exista intr-adevar si nu e doar o buseala de DNS. Pentru ca daca ar fi existat o mare parte din conexiunile pe care le realiza serverul nostru( mare parte depinzand de routerele de pe drum, de ce stiu ele apropos de amplasarea adresei de retea a serverului nostru, precum si de rutele optime catre el) s-ar fi intors unde nu trebuie. Deci cereri care se trimit pe net nu se mai intorc deloc la un moment dat.

DragonK · Postby **DragonK** » Wed Jun 16, 2004 6:41 pm

Toate ca toate, n-a mers netul, a mers prost, a fost taiat netul, a luat lumea antivirus de nu mai vedeai ARP ne la locul lui, dar acum iar au aparut...

buge1880 · Postby **buge1880** » Thu Jun 17, 2004 4:54 pm

Dane ce ai raspuns tu este foarte adevaratsi corect..Da vreau sa te intreb si eu o chestia.Cand statia mea vrea sa comunice cu o alta statie si face un arp-request pt a afla macul celeilalte statii si pt a comunica cu ea cererea de comunicatie trece prin rooter???Adica eu nu pot schimba pachete cu altii in retzea daca nu trec prin rooter???Comunicatia cu exteriorul probabil ca se face prin NAT-ul care e pe roouter, da asta e alta treaba si nu cred ca are legatura cu faptul ca a mers prost netu.Sincer mie-mi merge bine; nu pot sa ma plang
*oricum merci pt raspunsuri si ma bucur ca sunt o groaza de persoane care stiu sa administreze retzeeaua
*sincer e una din cele mai bune(transfer bun, si foarte putzine probleme de lipsa de net) retzele din regie si am vazut mai multe(p17, A-leu)

costin · Postby **costin** » Thu Jun 17, 2004 5:38 pm

Ce nu crezi? Ca o rafala de arp-req poate echivala cu un flood? Eu nu sunt routerul, nu am un sistem M$, lucrurile s-au mai rezolvat, dar uite un log iptraf.

Code: Select all

Thu Jun 17 17:33:12 2004; ******** Detailed interface statistics started ********

*** Detailed statistics for interface eth0, generated Thu Jun 17 17:33:43 2004

Total:  9996 packets, 646264 bytes
        (incoming: 9995 packets, 646169 bytes; outgoing: 1 packets, 95 bytes)
IP:     456 packets, 62813 bytes
        (incoming: 455 packets, 62732 bytes; outgoing: 1 packets, 81 bytes)
TCP: 0 packets, 0 bytes
        (incoming: 0 packets, 0 bytes; outgoing: 0 packets, 0 bytes)
UDP: 452 packets, 62624 bytes
        (incoming: 452 packets, 62624 bytes; outgoing: 0 packets, 0 bytes)
ICMP: 2 packets, 109 bytes
        (incoming: 1 packets, 28 bytes; outgoing: 1 packets, 81 bytes)
Other IP: 2 packets, 80 bytes
        (incoming: 2 packets, 80 bytes; outgoing: 0 packets, 0 bytes)
Non-IP: 9540 packets, 443476 bytes
        (incoming: 9540 packets, 443476 bytes; outgoing: 0 packets, 0 bytes)
Broadcast: 9987 packets, 645411 bytes

Average rates:
20.35 kbytes/s, 322.45 packets/s
Incoming:       20.35 kbytes/s, 322.42 packets/s
Outgoing:       0.00 kbytes/s, 0.03 packets/s

Peak total activity: 23.18 kbytes/s, 360.60 packets/s
Peak incoming rate: 23.18 kbytes/s, 360.60 packets/s
Peak outgoing rate: 0.02 kbytes/s, 0.20 packets/s

IP checksum errors: 0

Running time: 31 seconds
Thu Jun 17 17:33:43 2004; ******** Detailed interface statistics stopped ********

Incoming: 20.35 kbytes/s, 322.42 packets/s

Si asta in conditiile de mai sus, cu trafic minor (ca volum de date).

Dan · Postby **Dan** » Thu Jun 17, 2004 10:58 pm

Nu ...nu trece prin router, adica nu routerul se ocupa de gasirea destinatiei,( deocamdata...

) dar requestul ajunge si la el. O retea poate sa mearga foarte bien si fara un device care sa functioneze ca router atata vreme cat statiile sunt in aceeasi clasa de adrese IP.

Medicina Bucureşti

Net problem again?

Net problem again?

hai sa ma introduc si yo in seama!!

gg

:)

Who is online