Вирус забивает GateAway (?)

поставить tcpdump. Затем man tcpdump.

Это в терминологии провайдера называется "вирус полностью забивает аплинк".

tcpdump, iftop, http://gentoo-portage.com/net-analyzer

iptraf

iftop тебе покажет IP нехорошего человека.
далее вешаешь IP атакующего себе на шлюз и очищаешь ARP кеш.

Неплохо было бы еще заспамить ARP таблицу атакующего, убедив его в том что мак шлюза равняется его маку. Пускай сам себе пакеты шлет. Но как это сделать, я не знаю, поскольку мне этого не нужно. у меня управляемое оборудование везде и я тупо кладу порт атакующего.

>Неплохо было бы еще заспамить ARP таблицу атакующего, убедив его в том что мак шлюза равняется его маку. Пускай сам себе пакеты шлет. Но как это сделать, я не знаю, поскольку мне этого не нужно. у меня управляемое оборудование везде и я тупо кладу порт атакующего.

ну арп-реквестом/реплаем можно соответствующим, а не проще ли пойти и отрубить от сетки этот комп?)

Пойти и отрубить может быть непросто, если свич куда-то глубоко засунут.

>Пойти и отрубить может быть непросто, если свич куда-то глубоко засунут.

зато сам комп как правило далеко не засовывают.

Ребята, всем спасибо за помощь.
Утилитка iftop оказалась наглядной и приятной.
Но, конечно же, надо разбираться в мостадонтах ака tcpdump
А лучше всего подвесить какой-нибудь демон, анализирующий дамп обращений к интерфейсу. При значительном превышении некоторого джентльменского максимума обращений, просто давать на этот IP-адрес командочку:
iptables -бла-бла-бла DROP
И тогда пусть вопит этот один крендель, а не вся сеть... Будет внимательнее к антивирусным программам относиться.

man iptables
/limit
/connlimit

iptables -бла-бла-бла DROP не поможет в случае флуда на порт шлюза. Вернее поможет, но в том случае если к клиенту идет 100 мегабит, а шлюзе гигабит.

Если на шлюзе тоже сотка, то никакой iptables не поможет. Пакеты уже пришли в порт.

Нужно сделать чтобы они не приходили. Это или манипуляции с ARP или отключение клиента.