Freesco, NND, CDN, EOS

Od pewnego czasu zaczely pojawiac sie u mnie w jednej z sieci lokalnych adresy spoza klasy uzywanej w tym LANie... obce adresy dominuja w postaci 192.168.x.x i pojawiaja sie tylko na interfejsie od strony LAN, a ich obecnosc jest dosc losowa.... zarowno jesli chodzi o czas, jak i sam obcy adres IP...

W ip_conntrack wpisy tych obcych adresow uwidaczniaja jedno polaczenie TCP ktorego celem jest moj serwer (adres bramy... nie proboja wychodzi poza siec). ARP nie wskazuje zadnego MAC'a powiazanego z obcym adresem...

Cala wykorzystywana przeze mnie grupa adresow w LANie jest poblokowana po MACach, a dodatkowo od wczoraj dolozylem jeszcze dwie reguly eliminujace polaczenia spoza tej grupy:



regula dla lancucha INPUT zdropowala przez noc kilkaset pakietow... regula dla lancucha FORWARD wogole nie zostala odpalona...

jednak jest to leczenie skutkow, a nie przyczyn... no i tu jest moje pytanie

co moze powodowac pojawianie sie takich adresow? wirol? trojan?
jak wysledzic winowajce w LANie skoro ARP nie podaje mi MAC'a tego adresu, nie daje sie on ani pingowac, ani arpingowac, netstat-nat tez nic nie wskazuje... dodatkowo bardzo szybko nastepuja zmiany adresu na inny...

_________________

moze ktos wlaczył w sieci dodatkowy serwer dhcp (np w AP, bramce VOIP, źle ustawonym kompie)

Jeśli masz na sztywno przypisane ARP to nie odczytasz MACka ale z całą pewnością musi jakiś byc - tyle że może byc fałszywy
Swoja drogą jaki masz wpis w /etc/ethers skoro i tak pakiety dochodzą do do wyższej warstwy.
Możesz użyc jakiegoś snifeffera na zewnętrznej maszynie (np tcdumpa) aby np poznac te dane.
Jeśli masz siec kablową opartą na prostych swichach to zadanie może byc kłopotliwe aby ustalic winowajcę zwłaszcza jeśli siec jest rozległa.
Mozna by w czasie "ataku" odłączac podejrzane końcówki i zobaczy czy atak ustaje, i tak po nitce do kłębka.

Mógłbyś w końcu dopuścic taki IP do neta w sposób kontrolowany i baaardzo dokladnie przejrzec każdy pakiet jaki taki delikwent wysyła.
Mozna wtedy ustalic nr gg, maile itp - a potem odezwac sie do niego.

A jeszcze mógł paśc ci jakis swich - np po przepięciu...Doświadczylem taki przypadek na własnej skórze, potrafił zablokowac wtedy cały segment sieci.

kurka... chyba trafiles...

dzis powiesil sie 24 portowy switch zarzadzalny... ale dosc dziwnie bo tylko na jednym porcie do ktorego mialem przylaczony blok z 15 komputerami

nie wiem tylko jaki moglby byc mechanizm tego, ze przez takiego "pascia" pojawiaja sie w LANie adresy z nieuzywanej puli... switch EDIMAXa: http://abitech.pl/shop/towar/idt=1033901 i musze powiedzeic ze bylby to pierwszy raz, od kupna (4 lata temu) kiedy mnie zawiodl... z drugiej strony byc moze przestaje juz sobie radzic z ruchem (wszystkie porty zajete, szkielet na Gigabajtach, uzytkownicy i pomniejsze grupy na 10/100) w godzinach szczytu

sprzet mam izolowany od przepiec UPSami (6 jednostek UPS zasila 9 urzadzen aktywnych) w instalacjach zasilajacych aktywne urzadzenia sieci, kable sieciowe uziemnione i w wiekszosci zakopane... wiec to bym raczej wykluczal jako przyczyne

no nic... w poniedzialek podjade i zmienie go na cos nowszego...
odezwe sie czy pomoglo

_________________

a jednak to nie switch...

zabralem sie na powaznie za analize wpisow w ip_conntrack i znalazlem cos takiego:



okazalo sie, ze to swinstwo rozsylaja dwa komputery z mojej sieci.... 192.168.20.4 i 192.168.20.13

jaki wirol/trojan/p2p czy inne cholerstwo generuje takie polaczenia?

_________________

O ile ja dobrze pamiętam, to kazaa czy jakoś tak..

_________________
Belfer.one.PL
Audio Cafe

Wszystko co skanuje siec, zatruwa tablice arp itp.
Wylaczyc tych 2 lebow ze switcha, jak wpisow nie bedzie, to poinformowac o syfieniu w sieci i o tym, ze zostana ponownie podlaczeni jak cos z tym zrobia.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

zrobione... narazie pomoglo

mam tylko nadzieje, ze to nie jest jakas plaga...

topic mozna wyslac w kosmos, dzieki za pomoc

_________________