Точно всем? Или только тем у кого 172.18.50.254 ?

ну можно через case сделать по подсетям (если канешко не сделано)

конечно сделано
и т.д.

гы, а можно проще:

или вот так:

ага, и тогда у тебя мак пропишется на неизвестный 172.18.19.254 адрес, который шлюзом совсем не является

$valid_subnets для примера.... туда забиваются валидные подсети шлюза

Класс, коллеги!
Вчера посидел на статике. Разницы не заметил, только сторожок перестал орать на подмену адреса. Открытие любой страницы за пределами шлюза занимало чуть более одной минуты. Такая же картина наблюдается и при подмененном адресе.
Вирус же (если это вирус) написан толково, снимаю шляпу. В сегменте одновременно находилось 3 компа с ним, но они не дрались между собой за возможность дёрнуть шлюз. Работал только один, остальные ждали своей очереди. Сеть в общем-то и не падала, как отметил D_guest, она стала работать медленней. Через несколько часов шлюз сдался, свистопляска с адресами закончилась, в таблице появился еще один комп, он прочно, по-пахански, захватил адрес и больше никому его не отдал. Силовая посадка шлюза на статический адрес в таблице не изменила картины работы сети. Сегодня с утра все чисто. Счастливые обладатели уникального вируса появятся в сети ближе к вечеру.

Как вариант можно на шлюзе прописать всех абонентов и заморозить таблицу арп но это не совсем правильно.
Итого лог Arpwatch 60 метров (текста) за 3 дня.Зараженые сети 16,18,32,34,50,68 и все кто не сегментирован.

Сделал, после приминения XArp молчит.

У меня Харп вчера вечером за пол часа сделал 300 записей о смене адреса.

а что такое антивирус и IE?

Вы приписываете вирусу прямо-таки искусственный интеллект , шлюз конечно не с кем не воевал, чтобы сдаться, просто реализация arp в windows ( и unix) сделана так , что arp кэш обновляется даже без arp запроса. т.е некая система шлющая в сеть сгенерированные arp ОТВЕТЫ забивает arp кэш на хостах в своей подсети, и эти хосты имея свежий МАС шлюза в кэше не спрашивают его заново, поэтому , если ни у кого не спрашивать МАС (статик) , то сеть для вас будет работать как обычно, особенно, если в кэше шлюза тоже статик адреса на клиетов( то что предлагает RUS).
(пока arp трафик все не забьет шутка )

Так в том то и дело, что не работает она как обычно со статическим адресом шлюза в таблице. А работает точно так же как с подмененным. При подмененном адресе хост, казалось бы, не должен выйти за пределы шлюза из-за того, что попадает по МАКу на другой хост, но он выходит, с минутной задержкой. Выходит, что этот "вирус" еще и знает куда перенаправить пакеты от хоста, чтобы он не заметил его присутствия в сети. Это на нашей сети задержки бросаются в глаза, избалованы мы высокой скоростью трафика. А там, где браузер открывает страницы по 40сек, не заметят, что он стал по минуте открываться - спишут на загруженность сервера. И такой вопрос: что Он делает в течение минуты с обратившимся к нему хостом? Первое: анализирует пакеты с целью извлечения логинов. Второе: ищет лазейку на хост, чтобы подсунуть ему себя. Во втором случае, возможно, он может идентифицировать уже зараженные компьютеры и не препятствовать им работе в сети. Отсюда, выход из проблемы может оказаться весьма нетрадиционным... Думаю, что подобные программы нельзя отнести ни к вирусам, ни к программам-шпионам. Это, скорее всего, программы-диверсанты, ведь достаточно шлюзу приписать несуществующий МАК-адрес и ... Да, и не надо забывать, что на фоне всеобщей картины вирусоподобности могут работать конкретные руки. Ну, это скорее моя рекция на тот самый 37-й.

P.S. отнеситесь к сему с некоторым сарказмом.

IP MAC in system chache last changed vendor network order IP host order IP type adapter



172.18.50.18 00-15-F2-3F-67-97 yes - - 305271468 2886873618 dynamic 0x2 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Минипорт планировщика пакетов

172.18.50.31 00-08-A1-61-02-48 yes - CNetTechnologyInc.
523375276 2886873631 dynamic 0x2 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Минипорт планировщика пакетов

172.18.50.100 00-08-A1-25-C2-2A no - CNetTechnologyInc.
1681003180 2886873700 dynamic 0x2 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Минипорт планировщика пакетов

172.18.50.254 00-19-5B-12-56-82 yes 20:59:38 - 4264694444 2886873854 dynamic 0x2 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Минипорт планировщика пакетов


Хз че это за программа XArp, но как запустил прошло минут этак 15 и на протяжении 20 минут меня мучала табличка об изменах IP 172.18.50.254..

miraGe, неизвестные Вам программы лучше не запускать.

Trace после этого http://www.krasno.ru/arp-gw.php у меня началось вот это

22:07:05 Адаптер: ASUS NX1001 Network Adapter - Минипорт планировщика пакетов, IP: 172.18.**.**, Маска: 255.255.0.0
22:07:43 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:07:51 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:07:54 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:05 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:09 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:13 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:16 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:20 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:24 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:27 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:31 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:38 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:42 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)

Да не, программу то Trace посоветовал, с ней все ок, у меня вот то же самое что и у hornet'a было, типа смена мак адреса шлюза, только вместо "0" было "50". И кстате что смешно, у меня наоборот после http://www.krasno.ru/arp-gw.php все закончилось и сеть стала стабильно показывать <1 мс, а до этого то превышен интервал ожидания, типа потеря пакетов во время подмены адреса, то высокие мс..

Эй, благородные доны, минуточку!

А что, обычные средства борьбы с этим вирусом в данном случае не работают? Его антивирь не видит или он не удаляется без убиения очень системных файлов?

Вот здесь в конце это обсуждали viewtopic.php?t=1833&start=810
В общем Пуск- Выполнить-cmd - arp -s 172.18.ХX.254 00-хх-хх-хх-хх-хх 172.18.ХX.ХХ
т.е arp -s {адрес шлюза в вашей подсети} {МАС шлюза} {ваш адрес}
МАС шлюза смотрите в той же MDarp когда все работает норм


как узнать адрес шлюза подсети?

Pampa, почитайте здесь: http://forum.butovonet.ru/viewtopic.php ... sc&start=0

Сетевые подключения ->ЛВС или высокоскоростной Интернет -> Подключение по локальной сети -> (ПКМ)Состояние ->Поддержка

Или Пуск->Выполнить->cmd->ipconfig
Ищем строчку :
Основной шлюз . . . . . . . . . . : 172.18.*.*

всё делаю как указано, не получается, пишет: не является внутренней или внешней командой

Пока нашли один выход - это отключение компьютеров от СЕТИ (и от Интернета, соответственно, тоже) до момента, пока пользователь не переставит систему.

и что потом? опять через пару дней переустанавливать систему?

hornet, можно еще скачать http://www.krasno.ru/arp-gw.php и в блокноте посмотреть содержимое файла.

Для остальных адресов шлюз 172.18.0.254 и мак 00-1b-78-59-fd-12.

Сам скрипт делает две команды: собственно arp -s ip mac, и ту же команду прописывает в автозагрузку.
Чтобы удалить результаты работы скрипта, надо выполнить следующие команды:

Вот только на 3 день появилось:

Запустил http://www.krasno.ru/arp-gw.php - нормализовалось.

172.18.0.254 00-1b-78-59-fd-12
172.18.0.250 00-1a-4b-0a-37-cf

второй день выскакивают

1 - 17:43:03: Mapping changed: 172.18.50.61 changed from 00-00-00-00-00-00 to 00-E0-4D-21-EB-6C

Vot takaya erunda. Che eto znachit ?

3 - 21:53:23: Mapping changed: 172.18.54.35 changed from 00-15-F2-21-25-19 to 00-00-00-00-00-00

4 - 21:53:25: Mapping changed: 172.18.54.35 changed from 00-00-00-00-00-00 to 00-15-F2-21-25-19

1 - 22:07:02: Mapping changed: 172.18.56.24 changed from 00-00-00-00-00-00 to 00-08-A1-1C-5A-46

2 - 23:10:16: Mapping changed: 172.18.66.28 changed from 00-00-00-00-00-00 to 00-E0-18-EC-AA-28

3 - 23:18:32: Mapping changed: 172.18.54.39 changed from 00-14-2A-5C-DA-5F to 00-00-00-00-00-00

4 - 23:18:38: Mapping changed: 172.18.54.39 changed from 00-00-00-00-00-00 to 00-14-2A-5C-DA-5F