URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1880
[ Назад ]

Исходное сообщение
"множественные сообщения о смене MAC адреса в логах - где проблема?"

Отправлено olegff , 03-Фев-05 14:44 
FreeBSD 4.10, непрерывно появляются подобные строчки в логах:

Feb  3 14:35:52 hostname /kernel: arp: 192.168.0.38 moved from 00:0c:80:79:3e:cc
to 00:50:bf:64:56:6b on fxp1
Feb  3 14:35:59 hostname /kernel: arp: 192.168.0.17 moved from 00:ea:46:39:3c:cf
to 00:80:ad:09:03:5d on fxp1
Feb  3 14:36:18 hostname /kernel: arp: 192.168.0.71 moved from 00:64:1c:27:5c:ee
to 00:80:48:ca:b1:50 on fxp1
Feb  3 14:36:38 hostname /kernel: arplookup 0.0.0.0 failed: host is not on local
network
Feb  3 14:36:44 hostname /kernel: arp: 192.168.0.64 moved from 00:3c:9f:21:08:bd
to 00:50:22:b8:06:f4 on fxp1
Feb  3 14:37:01 hostname /kernel: arplookup 0.0.0.0 failed: host is not on local
network
Feb  3 14:37:04 hostname /kernel: arp: 192.168.0.72 moved from 00:b2:16:4f:65:16
to 00:50:22:e1:b1:ca on fxp1
Feb  3 14:37:12 hostname /kernel: arp: 192.168.0.148 moved from 00:a0:b4:df:96:7
a to 00:10:60:5f:57:7a on fxp1

это может быть неисправностью оборудования или надо искать злоумышленника?


Содержание

Сообщения в этом обсуждении
"множественные сообщения о смене MAC адреса в логах - где про..."
Отправлено Moralez , 06-Фев-05 18:07 
net.link.ether.inet.log_arp_movements=0 и баста...

в домашней сети на 800 человек таких сообщений на 20 килобайт в день... что теперь, застрелиться? 8-)


"множественные сообщения о смене MAC адреса в логах - где про..."
Отправлено olegff , 09-Фев-05 10:35 
>net.link.ether.inet.log_arp_movements=0 и баста...
>
>в домашней сети на 800 человек таких сообщений на 20 килобайт в
>день... что теперь, застрелиться? 8-)

спасибо за ответ - но сеть корпоративная, сообщения шли по несколько штук в секунду в течение часа и в рез-те получилась полная неразбериха - сеть просто не работала... Методом научного тыка нашел сегмент, но сам комп в этом сегменте найти так и не удалось


"множественные сообщения о смене MAC адреса в логах - где про..."
Отправлено baklan , 10-Фев-05 00:51 
>это может быть неисправностью оборудования или надо искать злоумышленника?

Было подобное в домашней сети. Вернее и сейчас есть.
Скорее всего второе отравляют свитч, проги есть специальные. У нас несколько сетей, так вот поисонинг шел с одной сетки, мы отгородились от нее железным роутером, теперь вырубается только та сеть, в которой работает отравитель. Вообще думали как вычислить отравителя, но решение не нашлось. Вроде бы и время примерно одно, теоретически можно вычислить. Если кто подскажет как от этого защитить сеть, буду благодарен.    


"множественные сообщения о смене MAC адреса в логах - где про..."
Отправлено Аномин , 16-Фев-05 14:53 
или отравляют арп.
или сниферят.

я бы сделал в арп-е на этой тачке: жёстко привязать ИП к МАКам.
остальные забанить.

всё это есть на форуме.
(а ваще - это нормально, ничо страшного)