URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18685
[ Назад ]

Исходное сообщение
"кошмар какой-то"
Отправлено Bokl , 16-Апр-09 22:22

добрый день.
ситуация следующая. в арп таблице циски появляются записи с разными айпи и одним и тем же маком. при этом эти айпи статически выставлены на машинах, тоесть заняты.
после ребута все минуть пять идет своим чередом, в арпе все как должно быть, но через минуть пять все начинается сначала.
есть идеи? то место откуда идет этот мак я нашел, но там не моя зона ответственности я
я не имею доступа к тамошним девайсам.

Содержание

кошмар какой-то,Bokl, 22:44 , 16-Апр-09
кошмар какой-то,Michael, 23:05 , 16-Апр-09
- кошмар какой-то,Bokl, 23:08 , 16-Апр-09
  - кошмар какой-то,rakis, 23:26 , 16-Апр-09
    - кошмар какой-то,Bokl, 23:56 , 16-Апр-09
кошмар какой-то,kompot, 08:16 , 17-Апр-09
- кошмар какой-то,Bokl, 11:29 , 17-Апр-09
  - кошмар какой-то,Myxa, 11:36 , 17-Апр-09
  - кошмар какой-то,fantom, 12:15 , 17-Апр-09
  - кошмар какой-то,kompot, 12:18 , 17-Апр-09
    - кошмар какой-то,Bokl, 18:07 , 17-Апр-09

Сообщения в этом обсуждении

"кошмар какой-то"
Отправлено Bokl , 16-Апр-09 22:44

покопался, наткнулся на арп спуфинг. видимо это оно. изменим постановку вопроса:
как с этим бороться?

"кошмар какой-то"
Отправлено Michael , 16-Апр-09 23:05

>есть идеи? то место откуда идет этот мак я нашел, но там
>не моя зона ответственности я
>я не имею доступа к тамошним девайсам.
самый простой способ - связаться с человеком, отвественным эту зону. либо его руководителем

"кошмар какой-то"
Отправлено Bokl , 16-Апр-09 23:08

>
>>есть идеи? то место откуда идет этот мак я нашел, но там
>>не моя зона ответственности я
>>я не имею доступа к тамошним девайсам.
>
>самый простой способ - связаться с человеком, отвественным эту зону. либо его
>руководителем
нельзя как-то запретить что-то, чтобы циска не клевала на левые арпы? связь между подключеными к ней компами не обязательна.

"кошмар какой-то"
Отправлено rakis , 16-Апр-09 23:26

>нельзя как-то запретить
http://www.ciscolab.ru/security/157-arp_spoofing.html

"кошмар какой-то"
Отправлено Bokl , 16-Апр-09 23:56

>>нельзя как-то запретить
>
>http://www.ciscolab.ru/security/157-arp_spoofing.html
решение которое там указано будет работать только на компьютерах. а у меня роутеры, модемы и т.д. Необходимо как-то на шлюзе(2821) от этого защититься.

"кошмар какой-то"
Отправлено kompot , 17-Апр-09 08:16

>[оверквотинг удален]
>ситуация следующая. в арп таблице циски появляются записи с разными айпи и
>одним и тем же маком. при этом эти айпи статически выставлены
>на машинах, тоесть заняты.
>
>после ребута все минуть пять идет своим чередом, в арпе все как
>должно быть, но через минуть пять все начинается сначала.
>
>есть идеи? то место откуда идет этот мак я нашел, но там
>не моя зона ответственности я
>я не имею доступа к тамошним девайсам.
Была точно такая же ситуация когда в головном офисе стали играться с маршрутизацией, а в филиалах оказалось две одинаковых локальных подсетки. Лечится есественно на железке эти подсетки объединяющей. Хорошо хоть в этой подсетке были только сетевые принтеры и т.п.

"кошмар какой-то"
Отправлено Bokl , 17-Апр-09 11:29

>[оверквотинг удален]
>>должно быть, но через минуть пять все начинается сначала.
>>
>>есть идеи? то место откуда идет этот мак я нашел, но там
>>не моя зона ответственности я
>>я не имею доступа к тамошним девайсам.
>
>Была точно такая же ситуация когда в головном офисе стали играться с
>маршрутизацией, а в филиалах оказалось две одинаковых локальных подсетки. Лечится есественно
>на железке эти подсетки объединяющей. Хорошо хоть в этой подсетке были
>только сетевые принтеры и т.п.
да в том то и дело, что это одна подсеть которая подключена непосредственно к роутеру через комутаторы и за выделением айпишек строго следим. совпадения конечно бывают, но
не тогда один айпи будет например в разные маки резолвится. а тут получается наоборот разные айпи и один мак.

"кошмар какой-то"
Отправлено Myxa , 17-Апр-09 11:36

>не тогда один айпи будет например в разные маки резолвится. а тут
>получается наоборот разные айпи и один мак.
А не вирус ли?

"кошмар какой-то"
Отправлено fantom , 17-Апр-09 12:15

>[оверквотинг удален]
>>Была точно такая же ситуация когда в головном офисе стали играться с
>>маршрутизацией, а в филиалах оказалось две одинаковых локальных подсетки. Лечится есественно
>>на железке эти подсетки объединяющей. Хорошо хоть в этой подсетке были
>>только сетевые принтеры и т.п.
>
>да в том то и дело, что это одна подсеть которая подключена
>непосредственно к роутеру через комутаторы и за выделением айпишек строго следим.
>совпадения конечно бывают, но
>не тогда один айпи будет например в разные маки резолвится. а тут
>получается наоборот разные айпи и один мак.
Прибить на порту коммутатора сей IP+MAC и включить DHCP snooping.

"кошмар какой-то"
Отправлено kompot , 17-Апр-09 12:18

>
>да в том то и дело, что это одна подсеть которая подключена
>непосредственно к роутеру через комутаторы и за выделением айпишек строго следим.
>совпадения конечно бывают, но
>не тогда один айпи будет например в разные маки резолвится. а тут
>получается наоборот разные айпи и один мак.
Так оно и проявляется и этот мак обычно мак какого-нибудь шлюза в ту область где есть такая же подсетка.

"кошмар какой-то"
Отправлено Bokl , 17-Апр-09 18:07

>
>>
>>да в том то и дело, что это одна подсеть которая подключена
>>непосредственно к роутеру через комутаторы и за выделением айпишек строго следим.
>>совпадения конечно бывают, но
>>не тогда один айпи будет например в разные маки резолвится. а тут
>>получается наоборот разные айпи и один мак.
>
>Так оно и проявляется и этот мак обычно мак какого-нибудь шлюза в
>ту область где есть такая же подсетка.
все! проблема решена)) сукиным сыном оказался глючный модем зюксель, который отвечал( почему понять не могу ) на все арп запросы. убрали модем - проблема исчезла.
всем спасибо