zainstaluj arpwatch - w logu messages będziesz widział co sie dzieje.
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| *sypie sie tablica ARP http://forum.freesco.pl/viewtopic.php?f=22&t=13000 |
Strona 1 z 1 |
| Autor: | janusz [ niedziela, 16 lipca 2006, 17:41 ] |
| Tytuł: | *sypie sie tablica ARP |
Witam. Od może ponad tygodnia w mojej sieci zaczęły się dziać różne dziwne rzeczy. Na kompie klienckim jeśli problem go dotknie sprawa wygląda tak: żadna z usług internetowych nie działa z wyjątkiem gg... tzn nie można prowadzić rozmów ale na liście kontaktów pokazuje użytkowników online. Tj jedyna zauważona działająca sprawa, być może coś jeszcze śmiga ale nie wszystko jestem w stanie sprawdzić. Co do servera to oczywiście NND i zauważone przezemnie nieprawidłowości to: w niceshaperze pokazane są kompy które na 100% nie mogą być włączone oraz po wydaniu komendy ARP tablica wygląda tak: Address HWtype HWaddress Flags Mask Iface kustra ether 00:07:E9:AD:42:46 C eth1 tarka2 ether 00:0C:6E:1C:AD:EF C eth1 swiat ether 00:0E:2E:20:2C:B3 C eth1 sasi ether 00:E0:4C:03:8E:8D C eth1 gerard ether 00:50:8D:51:7E:D6 C eth1 rylek ether 00:A1:B0:A2:B9:82 C eth1 tarka ether B2:CC:BA:E9:CB:AE C eth1 jagiello ether B2:CC:BA:E9:CB:AE C eth1 s_polak_laptop ether B2:CC:BA:E9:CB:AE C eth1 michalek ether B2:CC:BA:E9:CB:AE C eth1 misiak ether B2:CC:BA:E9:CB:AE C eth1 olczyk ether B2:CC:BA:E9:CB:AE C eth1 kozik ether 00:13:D4:C1:05:A7 C eth1 jash ether 00:E0:4C:E5:BE:8A C eth1 pacek ether B2:CC:BA:E9:CB:AE C eth1 chrzanek ether B2:CC:BA:E9:CB:AE C eth1 pajt ether B2:CC:BA:E9:CB:AE C eth1 rozek ether B2:CC:BA:E9:CB:AE C eth1 kaleta ether B2:CC:BA:E9:CB:AE C eth1 cyprys ether B2:CC:BA:E9:CB:AE C eth1 mincer ether B2:CC:BA:E9:CB:AE C eth1 janda ether B2:CC:BA:E9:CB:AE C eth1 hubert ether B2:CC:BA:E9:CB:AE C eth1 Przyznam się że w zime miałem identyczny problem, jednak fartem go zlikwidowałem. Wtedy przy tak dziwnym zachowaniu po prostu wyjąłem kość RAMu ktora okazyjnie kupiłem i nie byłem co do niej pewny. Pomogło - aż do teraz. Owej kości już tam nie ma więc nie wiem co może powodować takie dziwadła. Poczytałem trochę na forum o dziwnych zachowaniach ARP jednak nie znalazłem nic co by oddawało w 100% mój problem. Z góry dziękuje za podpowiedzi. Pozdr. |
|
| Autor: | MAC!EK [ niedziela, 16 lipca 2006, 19:04 ] |
| Tytuł: | |
może ktoś sieje jakimś wirusem? spróbuj zrestartować lan i wtedy sprawdzić czy wszystko zacznie działać Jesli zacznie i znowu przestanie to spróbuj odpinać paru ludzi od switcha i znowu restartować lan, jak się coś znowu spaprze to wiesz że to nie ci, i odłączasz innych restartujesz i czekasz, może w ten sposób namierzysz kto coś rozsyła. |
|
| Autor: | adi [ niedziela, 16 lipca 2006, 19:17 ] |
| Tytuł: | |
zainstaluj arpwatch - w logu messages będziesz widział co sie dzieje.
|
|
| Autor: | janusz [ niedziela, 16 lipca 2006, 20:10 ] |
| Tytuł: | |
Hmm zarzuciłem wczoraj tego arpwatch'a cała sprawa fazuje się w dalszym ciągu. Dziś znowu takie jaja nikt prawie nie ma netu a log pokazuje: b2:cc:ba:e9:cb:ae 192.168.0.21 1153099548 rozek 0:a1:b0:a1:77:1f 192.168.0.21 1153086934 rozek c1:f5:b9:e2:c3:f7 192.168.0.1 1153099558 sunburn 0:a1:b0:a2:b9:96 192.168.0.1 1153099558 sunburn b2:cc:ba:e9:cb:ae 192.168.0.26 1153099558 gerard 0:50:8d:51:7e:d6 192.168.0.26 1153099547 gerard b2:cc:ba:e9:cb:ae 192.168.0.2 1153099548 plaskota 0:e0:4c:e0:5:66 192.168.0.2 1153092019 plaskota 0:7:e9:ad:42:46 192.168.0.31 1153086842 kustra 0:80:5f:6c:5e:22 192.168.0.29 1153086675 cieniek 0:a1:b0:a1:58:3 192.168.0.20 1153086582 misiak b2:cc:ba:e9:cb:ae 192.168.0.7 1153099558 jagiello 0:50:8d:73:4d:29 192.168.0.7 1153093207 jagiello b2:cc:ba:e9:cb:ae 192.168.0.6 1153099558 sasi 0:e0:4c:3:8e:8d 192.168.0.6 1153092937 sasi b2:cc:ba:e9:cb:ae 192.168.0.27 1153099418 chrzanek 0:40:f4:24:b5:11 192.168.0.27 1153090837 chrzanek b2:cc:ba:e9:cb:ae 192.168.0.8 1153099558 michalek 0:b:6a:4f:c2:71 192.168.0.8 1153094896 michalek b2:cc:ba:e9:cb:ae 192.168.0.24 1153099548 rylek b2:cc:ba:e9:cb:ae 192.168.0.35 1153099348 cyprys 0:13:d4:c1:5:a7 192.168.0.3 1153099510 kozik 0:e0:4c:11:2a:7a 192.168.0.18 1153090813 karpeta 0:3:d:37:d9:38 192.168.0.23 1153098571 kaleta nie mam pojęcia jak to interpretować. Jedyne co podejrzewam to to żeby arpwatch pokazywał niechciane MACi to wrzucenie poprawnych to /etc/ethers i arp -f . Pomocyyyy Btw restart interfejsu od strony sieci nie pomaga. |
|
| Autor: | Koriolan [ wtorek, 18 lipca 2006, 17:16 ] |
| Tytuł: | |
IMHO ktoś apoofuje Twoje switche. Szukaj : arpspoofing Może to jeszcze być uszkodzenie któregoś urządzenia sieciowego - karty, switcha itp... Jeśli to uszkodzenie to trzaby go znaleźć .. jeśli to spoofing ..... to też 
Ustawienie STATIC ARP ( arp -f .../etc/ethers) pomoże na to, że ludkowie będą mieli internet. Jeśli chcesz natomiast się zabezpieczyć to najlepiej przełączniki zarządzalne. |
|
| Autor: | janusz [ wtorek, 18 lipca 2006, 18:04 ] |
| Tytuł: | |
Wydaje mi się że problem rozwiązany, z obserwacji widze że to jeden użytkownik szkodnik, zawsze sprawiał problemy i jest zdolny do takich rzeczy, jest spokój jak go nie ma online, nie mam jeszcze 100% pewności ale obserwuje, czym można robić takie wałki? A może on nieświadomie ma na kompie jakiegoś shita? |
|
| Autor: | zciech [ wtorek, 18 lipca 2006, 19:00 ] |
| Tytuł: | |
B2:CC:BA:E9:CB:AE to jest twoj winowajca, zmienia IP i sprawdza czy wejdzie. rozwiazanie to statyczny arp (ethers) i firewall z powiazanym IP i adresem MAC. No i szczypce z bocznym cieciem by go odciac od swicza. |
|
| Autor: | janusz [ poniedziałek, 14 sierpnia 2006, 19:52 ] |
| Tytuł: | |
Witam ponownie, zrobiłem jak radziliście, wiązanie arp'em oraz maskarade po mac'ach w iptables i niestety wczoraj znowu wystąpiły takie problemy. Nie mam pojęcia jak znaleźć winowajce i jak to działa. Komputer po restarcie wraca do normy, na klika minut, godzin. Nie występuje żadna regularność. U mnie tak to się objawia że net pada i pomaga restart kompa (ipconfig /renew o dziwo nie pomaga, nie znajduje servera dhcp) a co do klientów mówią że net jest ale bardzo muli. Pomóżcie bo niedługo nie będzie czym zapłacić DSL'a jestem bezsilny
|
|
| Autor: | puchatek007 [ poniedziałek, 14 sierpnia 2006, 21:56 ] |
| Tytuł: | |
Odłącz od sieci tego delikwenta i popatrz co będzie się działo. Najlepiej odłącz wszystkich, zostaw tylko siebie. Jak będzie działało ok, to stopniowo podłączaj jakąś partie userów (oczywiście jak masz taką możliwość). Może iptraf pokaże jakiś wzmożony ruch któregoś ipka?? |
|
| Autor: | adi [ poniedziałek, 14 sierpnia 2006, 22:09 ] |
| Tytuł: | |
Jeśli masz odpalony arpwatch to poszukaj w logu /var/log/messages czegoś takiego jak lub Jak MAC się powtarza przy każdym z flipów (flopów) to WYMIEŃ switch, do którego jest podpięta osoba z tym adresem MAC. To tak na początek.
|
|
| Autor: | janusz [ wtorek, 15 sierpnia 2006, 11:24 ] |
| Tytuł: | |
Switch'e mam bardzo rozrzucone po po innych klatkach i ciężko mi jest coś odłączać. Planuje zmiane wszystkich switchy ale to wymaga czasu na przebudowe sieci. Tymczasem dzięki za porady, wczoraj nic sie nie działo, zobaczymy dzisiaj. Ciężko mi też kogoś odłączyć od sieci bo spyta "dlaczego?" tymbardziej mogę go na dzień odłączyć i nic mi to nie powie bo nie dzieje się to tak często :/ Dopisane: O właśnie zdarzyło się coś interesującego. Kolega chciał abym przekierował mu port. Wyłączyłem Niceshapera wg zalecen. Wlaczylem FW czerwa, przekierowalem port i zapomnialem wlaczyc NS. Po paru minutach strony przestaly mi sie wczytywac, albo bardzo sie wszystko muliło - to logiczne. Podobnie to wyglądało jak przedwczoraj ale wtedy nie wyłączałem niceshaper'a :/ Druga rzecz. Wczoraj load average było około 1.5 a dziś jest 0.30 (duron 1ghz, 512ram i 38 uzytkownikow, bez squid'a) arpwatch nic nie zapisuje narazie do logów. |
|
| Autor: | aphex [ środa, 18 października 2006, 23:39 ] |
| Tytuł: | |
adi mam wlasnie takie akcje z flip i flop hostname: adsl.nnd (eth1) ip address: 192.168.0.1 ethernet address: 00:14:78:73:31:D5 ethernet vendor: <unknown> old ethernet address: 00:01:02:20:E5:42 old ethernet vendor: <unknown> timestamp: Wednesday, October 18, 2006 21:51:17 +0200 previous timestamp: Wednesday, October 18, 2006 21:51:16 +0200 delta: 1 second Oct 18 20:53:47 adsl arpwatch: eth1: flip flop 192.168.0.1 00:14:78:73:31:D5 (00:01:02:20:E5:42) Oct 18 20:53:47 adsl arpwatch: eth1: hostname changed 192.168.0.1 00:14:78:73:31:D5 -> adsl musi to zawsze znaczyc ze swich jest badniety ??? |
|
| Autor: | adi [ czwartek, 19 października 2006, 08:25 ] |
| Tytuł: | |
aphex pisze: hostname: adsl.nnd (eth1)
ip address: 192.168.0.1 ethernet address: 00:14:78:73:31:D5 old ethernet address: 00:01:02:20:E5:42 Wygląda jakby ktoś ustawiał na swoim komputerze adres routera (192.168.0.1). Albo rzeczywiście któryś switch. Masz - MAC więc dojdziesz kto to.
|
|
| Autor: | marask [ czwartek, 19 października 2006, 18:42 ] |
| Tytuł: | |
i patrz rada Zciecha - szczypce boczne
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|