URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 67088
[ Назад ]

Исходное сообщение
"Как разобраться с arpи мак-адресами"
Отправлено Skif , 21-Июн-06 17:31

Собственно в чем проблема - ряд ip в сети оказывается занятым и потом идут постоянные конфликты.
Например, мне необходимо назначит ip 10.0.38.250 машине, но тут же вылазит наружу, что ip занят и мак по arp пренадлежит другой машине:
[root@k.com.ua] /mnt/Obmen/Skif/:arp -a | grep 00:03:47:30:2d:bc
SYDNEY.k.local (10.0.38.3) at 00:03:47:30:2d:bc on rl0 [ethernet]
? (10.0.38.250) at 00:03:47:30:2d:bc on rl0 [ethernet]
В данном конкретном случае это win2k3 Srv. Иду туда:
F:\Scripts_1C>ipconfig /all
Настройка протокола IP для Windows
   Имя компьютера  . . . . . . . . . : SYDNEY
   Основной DNS-суффикс  . . . . . . : k.local
   Тип узла. . . . . . . . . . . . . : гибридный
   IP-маршрутизация включена . . . . : нет
   WINS-прокси включен . . . . . . . : нет
   Порядок просмотра суффиксов DNS . : k.local
Local Area Connection - Ethernet адаптер:
   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Dual Port Network Connection
   Физический адрес. . . . . . . . . : 00-03-47-30-2D-BC
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : 10.0.38.3
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз . . . . . . . . . . : 10.0.38.224
   DNS-серверы . . . . . . . . . . . : 10.0.38.1
                                       10.0.38.224
   Основной WINS-сервер  . . . . . . : 10.0.38.1
F:\Scripts_1C>
тоесть, машина чистая, ip у нее не прописан,а всеравно mac-адресс ее сетевой. DHCP сервера в сети нет, что бы он вносил непонятки.
Собственно вопрос, чем это может быть вызвано(захват ip, так сказать) и как с этим бороться.
PS: вот что происходит после очиcтки таблицы arp-ов:
[root@k.com.ua] /mnt/Obmen/Skif/:ping 10.0.38.250
PING 10.0.38.250 (10.0.38.250): 56 data bytes
64 bytes from 10.0.38.250: icmp_seq=0 ttl=128 time=0.477 ms
64 bytes from 10.0.38.250: icmp_seq=1 ttl=128 time=0.450 ms
64 bytes from 10.0.38.250: icmp_seq=2 ttl=128 time=0.269 ms
^C
--- 10.0.38.250 ping statistics ---
10 packets transmitted, 3 packets received, 70% packet loss

Содержание

Как разобраться с arpи мак-адресами,Xmas, 13:45 , 22-Июн-06
- Как разобраться с arpи мак-адресами,Skif, 15:40 , 22-Июн-06
  - Как разобраться с arpи мак-адресами,Xmas, 01:33 , 23-Июн-06
    - Как разобраться с arpи мак-адресами,Skif, 10:51 , 23-Июн-06
      - Как разобраться с arpи мак-адресами,Skif, 12:24 , 23-Июн-06
        
        Как разобраться с arpи мак-адресами,lavr, 12:38 , 23-Июн-06
        
        Как разобраться с arpи мак-адресами,Skif, 13:09 , 23-Июн-06
        
        Как разобраться с arpи мак-адресами,lavr, 13:18 , 23-Июн-06
        
        Как разобраться с arpи мак-адресами,Skif, 17:00 , 23-Июн-06
        
        Как разобраться с arpи мак-адресами,Skif, 17:20 , 23-Июн-06

Сообщения в этом обсуждении

"Как разобраться с arpи мак-адресами"
Отправлено Xmas , 22-Июн-06 13:45

>тоесть, машина чистая, ip у нее не прописан,а всеравно mac-адресс ее сетевой.
>DHCP сервера в сети нет, что бы он вносил непонятки.
>Собственно вопрос, чем это может быть вызвано(захват ip, так сказать) и как
>с этим бороться.
Оооочень похоже на действие honeyd и прочих похожих утилей, кот. просто захватывают свободные адреса в пуле. Советую еще раз подойти к серверу на Вин2к и покурить над процессами запущенными на этой машине

"Как разобраться с arpи мак-адресами"
Отправлено Skif , 22-Июн-06 15:40

>>тоесть, машина чистая, ip у нее не прописан,а всеравно mac-адресс ее сетевой.
>>DHCP сервера в сети нет, что бы он вносил непонятки.
>>Собственно вопрос, чем это может быть вызвано(захват ip, так сказать) и как
>>с этим бороться.
>Оооочень похоже на действие honeyd и прочих похожих утилей, кот. просто захватывают
>свободные адреса в пуле. Советую еще раз подойти к серверу на
>Вин2к и покурить над процессами запущенными на этой машине

Увы, ничего подозрительного - стандартные системные сервисы + процессы пользователей к опубликованной через Citrix 1C. Да суть не в этом, у меня подобное происходит и с фряхами. Тоесть прибиваю машине ip - она пишет конфликт arp показывает mac фряшной машины. В списке процессов (вот top, он совсем маленький, просто nfs сервер):
  PID USERNAME  THR PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
20759 root        1  96    0  2272K  1352K RUN      0:00  0.51% top
18068 skif        1  96    0  6076K  2248K select   0:00  0.05% sshd
  476 root        1  96    0  3416K  2160K select   0:24  0.00% sendmail
  496 root        1   8    0  1312K   856K nanslp   0:04  0.00% cron
  314 root        1  96    0  1296K   752K select   0:03  0.00% syslogd
  424 root        1  96    0  1208K   696K select   0:01  0.00% usbd
  329 root        1  96    0  1368K   888K select   0:01  0.00% rpcbind
  480 smmsp       1  20    0  3296K  1916K pause    0:01  0.00% sendmail
18076 root        1  20    0  3988K  2184K pause    0:00  0.00% tcsh
18065 root        1   4    0  6100K  2216K sbwait   0:00  0.00% sshd
18069 skif        1  20    0  3728K  1952K pause    0:00  0.00% tcsh
  400 root        1   4    0  1232K   832K accept   0:00  0.00% nfsd
  470 root        1  96    0  3352K  1608K select   0:00  0.00% sshd
  531 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty
  529 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty
  530 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty
  535 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty
  534 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty
  532 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty
  533 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty
  536 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty
  398 root        1 109    0  1284K   928K select   0:00  0.00% mountd
  285 root        1  97    0   500K   264K select   0:00  0.00% devd
  402 root        1   4    0  1192K   696K -        0:00  0.00% nfsd
  403 root        1   4    0  1192K   696K -        0:00  0.00% nfsd
  405 root        1   4    0  1192K   696K -        0:00  0.00% nfsd
  404 root        1   4    0  1192K   696K -        0:00  0.00% nfsd
Ничего такого.
[root@d.mig] /usr/home/skif/:ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 10.0.38.223 netmask 0xffffff00 broadcast 10.0.38.255
        ether 00:50:fc:e6:04:c1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
Тоже чисто...
И таких примеров с десяток. Фряхи винды, линусяторы в перемешку. При чем немогу отследить системы.
Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего пока не дал...

"Как разобраться с arpи мак-адресами"
Отправлено Xmas , 23-Июн-06 01:33

>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что
>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего
>пока не дал...
возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно, когда происходит так называемый "захват ip" MAC адрес машины кот. его захватывает один и тот же, или все время разный?

"Как разобраться с arpи мак-адресами"
Отправлено Skif , 23-Июн-06 10:51

>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что
>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего
>>пока не дал...
>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно,
ок. посмотрим. Пока только Ethereal просматриваю траффик.
>когда происходит так называемый "захват ip" MAC адрес машины кот. его
>захватывает один и тот же, или все время разный?

Всегда "захват" производят одни и те же машины.
в частности за 10.0.38.250 "отвечает" 10.0.38.3
А происходит это так.
Чищу таблицу arp. Тут же даю пинг по сети. машина находится моментом, проходит 2-5 пакетов,а потом ip привязывается к mac другой машины. Ессно там нету этого ip и она естественно не отвечает.
Родилась правда такая мысль, что связано может быть косвенно с тем, что центральные цисковские свитчи виноваты, но их столько уже раз бутали и сбрасывали память...

"Как разобраться с arpи мак-адресами"
Отправлено Skif , 23-Июн-06 12:24

>>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что
>>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего
>>>пока не дал...
>>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно,
>
>ок. посмотрим. Пока только Ethereal просматриваю траффик.
Вот кусочек лога после очистки arp таблиц arp -a -d пускаю ping 10.0.38.250 и имею в лог:
Jun 23 11:07:22 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc
Jun 23 11:07:22 podol arpwatch: new station 10.0.38.170 0:c0:26:31:50:2a
Jun 23 11:07:23 podol arpwatch: changed ethernet address 10.0.38.250 0:2:a5:68:16:cf (0:3:47:30:2d:bc)
Jun 23 11:07:23 podol arpwatch: flip flop 10.0.38.250 0:3:47:30:2d:bc (0:2:a5:68:16:cf)
Jun 23 11:07:24 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc
Jun 23 11:07:25 podol arpwatch: new station 10.0.38.252 0:80:48:b5:1e:11

Увы, ничего нового

"Как разобраться с arpи мак-адресами"
Отправлено lavr , 23-Июн-06 12:38

>>>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что
>>>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего
>>>>пока не дал...
>>>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно,
>>
>>ок. посмотрим. Пока только Ethereal просматриваю траффик.
>
>Вот кусочек лога после очистки arp таблиц arp -a -d пускаю ping
>10.0.38.250 и имею в лог:
>Jun 23 11:07:22 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc
>Jun 23 11:07:22 podol arpwatch: new station 10.0.38.170 0:c0:26:31:50:2a
>Jun 23 11:07:23 podol arpwatch: changed ethernet address 10.0.38.250 0:2:a5:68:16:cf (0:3:47:30:2d:bc)
>Jun 23 11:07:23 podol arpwatch: flip flop 10.0.38.250 0:3:47:30:2d:bc (0:2:a5:68:16:cf)
>Jun 23 11:07:24 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc
>Jun 23 11:07:25 podol arpwatch: new station 10.0.38.252 0:80:48:b5:1e:11
>
>
>Увы, ничего нового
в Windoze я спец НИКАКОЙ, поэтому попробую сумбурно по памяти несколько своих старых
случаев:
прим: в локальных сетях ПРАВИЛЬНО вести базу: выдача IP + привязка MAC, выдача по
оформлению заявки и внесению в базу.
- вариант с Windoze, как всегда тупое жамкание на клавиши и включение DHCP
- вариант с разными моделями свитчей, пока vlan'ы не включишь, творится полная хрень
с портами, скоростями и кто с них отвечает
- вариант с маршрутизацией на кисках, что-то хитрое и требует дополнительной привязки
к mac'ам карт чтобы gateway за них не отвечал, потом кошкари про это забывают и
начинается flip-flop и mac'и в кешах
что-то еще, пока верхнее отписывал - забыл :(
Вобщем тут нужно выискивать по MAC'ам ХТО, отрубать на кошках и ждать когда ОБЪЯВЯТСЯ
на разборки - вот тут и выяснять.

"Как разобраться с arpи мак-адресами"
Отправлено Skif , 23-Июн-06 13:09

>>>>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что
>>>>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего
>>>>>пока не дал...
>>>>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно,
>>>
>>>ок. посмотрим. Пока только Ethereal просматриваю траффик.
>>
>>Вот кусочек лога после очистки arp таблиц arp -a -d пускаю ping
>>10.0.38.250 и имею в лог:
>>Jun 23 11:07:22 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc
>>Jun 23 11:07:22 podol arpwatch: new station 10.0.38.170 0:c0:26:31:50:2a
>>Jun 23 11:07:23 podol arpwatch: changed ethernet address 10.0.38.250 0:2:a5:68:16:cf (0:3:47:30:2d:bc)
>>Jun 23 11:07:23 podol arpwatch: flip flop 10.0.38.250 0:3:47:30:2d:bc (0:2:a5:68:16:cf)
>>Jun 23 11:07:24 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc
>>Jun 23 11:07:25 podol arpwatch: new station 10.0.38.252 0:80:48:b5:1e:11
>>
>>
>>Увы, ничего нового
>
>в Windoze я спец НИКАКОЙ, поэтому попробую сумбурно по памяти несколько своих
>старых
>случаев:
>
>прим: в локальных сетях ПРАВИЛЬНО вести базу: выдача IP + привязка MAC,
>выдача по
>оформлению заявки и внесению в базу.
>
>- вариант с Windoze, как всегда тупое жамкание на клавиши и включение
>DHCP
>- вариант с разными моделями свитчей, пока vlan'ы не включишь, творится полная
>хрень
>с портами, скоростями и кто с них отвечает
>- вариант с маршрутизацией на кисках, что-то хитрое и требует дополнительной привязки
>
>к mac'ам карт чтобы gateway за них не отвечал, потом кошкари про
>это забывают и
>начинается flip-flop и mac'и в кешах
а вот про это подробнее можно? Стоят там Catalyst 2950 в центральных узлах. Vlan-ы подняты. Так же поднят один etherChanel для увеличения пропуска на маршрутизатор (FreeBSD). Остальной кусок сетки раздают от Catalyst обычные неуправляемые свитчи начиная от 3Com, заканчивая Planet-ами... Но вот с ними то как раз проблем нет - все проблемы на серверах которые напрямую воткнуты в Cisco-вский коммутатор.
Единственный сервер который явно "отличается" воткнут в 3Com вский свитч и имеет этот самый 10.0.38.250 ip. ТОчнее хочет иметь. Но "имеет" его другой, который в каталисту впихнут.
Вот и немогу понять логику КАК выхватываются ip-шники...
>
>что-то еще, пока верхнее отписывал - забыл :(
>
>Вобщем тут нужно выискивать по MAC'ам ХТО, отрубать на кошках и ждать
>когда ОБЪЯВЯТСЯ
>на разборки - вот тут и выяснять.
Увы, увы... Не получиться - все "клиенты" сервера, либо терминальные, либо NFS, либо... Тоесть не катит. От DHCP отказывался из тех же соображений - хоть раз в месяц, но конфликт выскакивает в большой сети при появлении новых машин.

"Как разобраться с arpи мак-адресами"
Отправлено lavr , 23-Июн-06 13:18

>>>>>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что
>>>>>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего
>>>>>>пока не дал...
>>>>>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно,
>>>>
>>>>ок. посмотрим. Пока только Ethereal просматриваю траффик.
>>>
>>>Вот кусочек лога после очистки arp таблиц arp -a -d пускаю ping
>>>10.0.38.250 и имею в лог:
>>>Jun 23 11:07:22 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc
>>>Jun 23 11:07:22 podol arpwatch: new station 10.0.38.170 0:c0:26:31:50:2a
>>>Jun 23 11:07:23 podol arpwatch: changed ethernet address 10.0.38.250 0:2:a5:68:16:cf (0:3:47:30:2d:bc)
>>>Jun 23 11:07:23 podol arpwatch: flip flop 10.0.38.250 0:3:47:30:2d:bc (0:2:a5:68:16:cf)
>>>Jun 23 11:07:24 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc
>>>Jun 23 11:07:25 podol arpwatch: new station 10.0.38.252 0:80:48:b5:1e:11
>>>
>>>
>>>Увы, ничего нового
>>
>>в Windoze я спец НИКАКОЙ, поэтому попробую сумбурно по памяти несколько своих
>>старых
>>случаев:
>>
>>прим: в локальных сетях ПРАВИЛЬНО вести базу: выдача IP + привязка MAC,
>>выдача по
>>оформлению заявки и внесению в базу.
>>
>>- вариант с Windoze, как всегда тупое жамкание на клавиши и включение
>>DHCP
>>- вариант с разными моделями свитчей, пока vlan'ы не включишь, творится полная
>>хрень
>>с портами, скоростями и кто с них отвечает
>>- вариант с маршрутизацией на кисках, что-то хитрое и требует дополнительной привязки
>>
>>к mac'ам карт чтобы gateway за них не отвечал, потом кошкари про
>>это забывают и
>>начинается flip-flop и mac'и в кешах
>
>а вот про это подробнее можно? Стоят там Catalyst 2950 в центральных
если бы помнил, то отписал бы, но не помню и главное не знаю ЧТО и КАК настраивали
кошкари, спросил бы, но тот который нужен - не разговаривает со мной пАчему та :(
>узлах. Vlan-ы подняты. Так же поднят один etherChanel для увеличения пропуска
>на маршрутизатор (FreeBSD). Остальной кусок сетки раздают от Catalyst обычные неуправляемые
>свитчи начиная от 3Com, заканчивая Planet-ами... Но вот с ними то
>как раз проблем нет - все проблемы на серверах которые напрямую
>воткнуты в Cisco-вский коммутатор.
>Единственный сервер который явно "отличается" воткнут в 3Com вский свитч и имеет
>этот самый 10.0.38.250 ip. ТОчнее хочет иметь. Но "имеет" его другой,
>который в каталисту впихнут.
>Вот и немогу понять логику КАК выхватываются ip-шники...
>>
>>что-то еще, пока верхнее отписывал - забыл :(
>>
>>Вобщем тут нужно выискивать по MAC'ам ХТО, отрубать на кошках и ждать
>>когда ОБЪЯВЯТСЯ
>>на разборки - вот тут и выяснять.
>
>Увы, увы... Не получиться - все "клиенты" сервера, либо терминальные, либо NFS,
>либо... Тоесть не катит. От DHCP отказывался из тех же соображений
>- хоть раз в месяц, но конфликт выскакивает в большой сети
>при появлении новых машин.
у меня нет альтернативы КРОМЕ как ОТРУБИТЬ и ЖДАТЬ гостей с РУГАНЬЮ, все остальное
- ГАДАНИЕ.

"Как разобраться с arpи мак-адресами"
Отправлено Skif , 23-Июн-06 17:00

>>а вот про это подробнее можно? Стоят там Catalyst 2950 в центральных
>
>если бы помнил, то отписал бы, но не помню и главное не
>знаю ЧТО и КАК настраивали
>кошкари, спросил бы, но тот который нужен - не разговаривает со мной
>пАчему та :(
>
жаль
>
>у меня нет альтернативы КРОМЕ как ОТРУБИТЬ и ЖДАТЬ гостей с РУГАНЬЮ,
>все остальное
>- ГАДАНИЕ.
Только это и остается. Ну как вариант статикой забить на машины mac+ip в arp-ы, но ой как не хочется, хочется причину найти.

"Как разобраться с arpи мак-адресами"
Отправлено Skif , 23-Июн-06 17:20

Да, еще зарисовка, только что обнаружил.
С "захватчика" проблемные хосты пингаются нормально. в arp-ах только нужные mac-и