Jump to content

Защита от сетевых угроз (Mac Spoofing Attack)


Recommended Posts

Приветствую, народ!

Решил значит включить компонент KES "Защита от сетевых угроз" (Network Threat Protection) с лайтовыми настройками (дабы прощупать работу модуля):

image.png.6881f0cb022e399245c47ea04a36d48e.png

И на одной машине посыпались события "Network attack detected".

Ругается на видеорегистратор Hikvision в сети.

Кто-нибудь понимает как этот модуль траблшутить и как интерпретировать событие ниже?

Кстати, добавление IP адреса видеорегистратора (172.18.85.101) в исключение Network Threat Protection/Exclusions, а также в General settings/Network settings/Trusted addresses никак не помогло. События продолжают генерироваться.

Собственно само событие:

Event: Network attack detected

IP: 172.18.85.20

Program: Kaspersky Endpoint Security for Windows (11.9.0.351)

Task: Network Threat Protection

Component: Network Threat Protection

Result description: Allowed

Name: Mac Spoofing Attack: conflicted ARP response

Object: ARP from several different sources Object type: Network packet Object name: ARP from several different sources

Suspicious: 28.06.2022 8:40:31: 8c-e7-48-98-82-9b -> 172.18.85.101 Database release date: 27.06.2022 20:54:00

Link to comment
Share on other sites

Добрый день!

Надо смотреть какой трафик генерирует видеонаблюдение. Есть ли какие то роутеры или NAT?

Link to comment
Share on other sites

4 часа назад, Nail сказал:

Добрый день!

Надо смотреть какой трафик генерирует видеонаблюдение. Есть ли какие то роутеры или NAT?

Роутеры есть.

Меня интересует почему не работают исключения?

Или для MAC Spoofing Protection нет исключений?

Link to comment
Share on other sites

Насколько я помню MAC Spoofing Protection отслеживает сетевую активность инспектируя пакеты. Если есть информация о перенаправлении с заменой IP адреса это уже алерт.

У меня такое было после начала пандемии. Сотрудники выходили в интернет из дома, через свои домашние роутеры, подключались по VPN к локальной сети организации, в KSC пачками шли алерты о MAC Spoofing'е. 

 

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share



×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.