https://89.19.215.112/openforum/vsluhforumID1/86198.html Доброго времени суток!<br><br>есть шлюз на OpenSUSE 11.0 который раздает инет на 20 человек<br>и вот периодически когда просматриваю arp вижу следующее:<br><br>10.25.122.235 (incomplete) eth1<br>10.44.78.116 (incomplete) eth1<br>10.0.0.2 ether 00:11:22:33:44:55 C eth1<br>10.71.51.240 (incomplete) eth1<br>10.62.77.244 (incomplete) eth1<br>10.22.248.249 (incomplete) eth1<br>10.42.38.45 (incomplete) eth1<br>10.0.0.10 ether 11:22:33:44:55:66 C eth1<br>10.62.51.34 (incomplete) eth1<br>10.44.36.249 (incomplete) eth1<br>10.44.44.238 (incomplete) https://89.19.215.112/openforum/vsluhforumID1/86198.html#10 Tue, 11 Aug 2009 09:41:47 GMT &gt;Клиент попросил сервер передать пакет "левому ip" сервер увидев что ip назначения <br>&gt;в одной подсети с сервером, делает arp запрос чтоб потом передать <br>&gt;пакет. Нормальная в общем-то работа всех протоколов. Осталось разобраться зачем клиенту <br>&gt;понадобилось обращаться к этому ip. <br><br>ясно - сенкс<br>пойду ловить клиента и узнавать, что у него там на машине происходит...<br> https://89.19.215.112/openforum/vsluhforumID1/86198.html#9 Tue, 11 Aug 2009 09:21:57 GMT &gt;<br>&gt;&gt;Вообще-то только в двух arp запрос пошёл от вашего сервера <br>&gt;&gt;Да стоит глянуть машину клиента, чтото там не чисто. <br>&gt;<br>&gt;от сервера? т.е. допускается вариант что и сервер сам еще сканит сеть? <br>&gt;<br>&gt;если так, то что может генерить арп-запросы на сервере? <br><br>Клиент попросил сервер передать пакет "левому ip" сервер увидев что ip назначения в одной подсети с сервером, делает arp запрос чтоб потом передать пакет. Нормальная в общем-то работа всех протоколов. Осталось разобраться зачем клиенту понадобилось обращаться к этому ip. <br> https://89.19.215.112/openforum/vsluhforumID1/86198.html#8 Tue, 11 Aug 2009 08:25:06 GMT <br>&gt;Вообще-то только в двух arp запрос пошёл от вашего сервера <br>&gt;Да стоит глянуть машину клиента, чтото там не чисто. <br><br>от сервера? т.е. допускается вариант что и сервер сам еще сканит сеть?<br>если так, то что может генерить арп-запросы на сервере?<br>на сколько я знаю там стоит:<br>веб +мускл + фтп + днс + нтп + + DCHub + ntop (который только иногда я вручную запускаю посмотреть что на интерфейсах бегает) + nut (для снятия статистики с УПСа)<br><br>вот на всякий случай список процессов за исключением системных + тех которые я знаю, может здесь есть что-то подозрительное, что и генерит запросы, т.к. сервер достался от старого админа<br><br>кстати, есть какой-то процесс от ipaudit но в стартовых скриптах ничего подобного не нашел... не могу понять как он запускается и как стопается... кроме как в ручном режиме<br><br><br>USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND<br>root 1433 0.0 0.1 2332 1068 ? Ss Apr21 4:22 /sbin/syslog-ng -a /var/lib/named/dev/log<br>root 1436 0.0 0.0 1 https://89.19.215.112/openforum/vsluhforumID1/86198.html#7 Tue, 11 Aug 2009 06:11:28 GMT &gt;&gt;arp запросы генерирует сам сервер. Смотреть надо кто обращается к этим нежелательным <br>&gt;&gt;IP. (IP источника пославшего пакет). <br>&gt;<br>&gt;вот то что выловил через ethereal: <br>&gt;10.0.0.1 - айпи сервера <br>&gt;10.0.1.21 - айпи клиента <br>&gt;все остальные айпи левые <br>&gt;получается что все запросы в 3х пакетах были от одного и того <br>&gt;же клиента? 10.0.1.21 ? <br><br>Вообще-то только в двух arp запрос пошёл от вашего сервера<br>&gt;если я правильно понял вывод... осталось только выяснить что стоит у клиента <br>&gt;и лупит столько запросов <br><br>Да стоит глянуть машину клиента, чтото там не чисто.<br><br><br> https://89.19.215.112/openforum/vsluhforumID1/86198.html#6 Mon, 10 Aug 2009 20:18:46 GMT &gt;arp запросы генерирует сам сервер. Смотреть надо кто обращается к этим нежелательным <br>&gt;IP. (IP источника пославшего пакет). <br><br>вот то что выловил через ethereal:<br>10.0.0.1 - айпи сервера<br>10.0.1.21 - айпи клиента <br>все остальные айпи левые<br>получается что все запросы в 3х пакетах были от одного и того же клиента? 10.0.1.21 ?<br>если я правильно понял вывод... осталось только выяснить что стоит у клиента и лупит столько запросов<br><br>No. Time Source Destination Protocol Info<br> 4562 4.414954 10.0.1.21 10.44.64.211 TCP ssslic-mgr &gt; 59574 [SYN] Seq=0 Win=65535 Len=0 MSS=1460<br><br>Frame 4562 (62 bytes on wire, 62 bytes captured)<br> Arrival Time: Aug 10, 2009 23:08:07.916380000<br> [Time delta from previous captured frame: 0.001161000 seconds]<br> [Time delta from previous displayed frame: 0.011635000 seconds]<br> [Time since reference or first frame: 4.414954000 seconds]<br> Frame Number: 4562<br> Frame Length: 62 bytes<br> Capture Length: 62 b https://89.19.215.112/openforum/vsluhforumID1/86198.html#5 Mon, 10 Aug 2009 09:55:12 GMT &gt;&gt;tcpdump или wireshark должны помочь выяснить чья станция отправляет пакеты и <br>&gt;&gt;какие пакеты на эти IP. <br>&gt;<br>&gt;попробую наверное wireshark <br>&gt;потому как по выводу tcpdumpa так и не понял кто генерит столько <br>&gt;запросов <br><br>arp запросы генерирует сам сервер. Смотреть надо кто обращается к этим нежелательным IP. (IP источника пославшего пакет).<br> https://89.19.215.112/openforum/vsluhforumID1/86198.html#4 Mon, 10 Aug 2009 09:25:19 GMT &gt;tcpdump или wireshark должны помочь выяснить чья станция отправляет пакеты и <br>&gt;какие пакеты на эти IP. <br><br>попробую наверное wireshark <br>потому как по выводу tcpdumpa так и не понял кто генерит столько запросов<br><br> https://89.19.215.112/openforum/vsluhforumID1/86198.html#3 Mon, 10 Aug 2009 09:17:07 GMT &gt;&gt;incomplit значит был поллан arp запрос но ответ пока не получен. <br>&gt;&gt;<br>&gt;&gt;это либо локальные процессы пытались обращаться по эти ip ну или кто <br>&gt;&gt;то из клиентов если их маска подсети короче маски шлюза. <br>&gt;<br>&gt;может быть такой вариант, что у кого-то троян какой-то завелся или еще <br>&gt;какая-нибудь гадость? которая сканит сеть? <br><br>да троянов особо не надо скрипт на пару строк, да и утилит полно что сканируют по диапазону IP. Наверное кто-то весьма любопытен. <br>&gt;<br>&gt;потому как такой диапазон айпи у меня никогда не использовался <br>&gt;и хотелось бы отловить по чьей вине постоянно такое количество арп-запросов валится <br>&gt;<br><br>tcpdump или wireshark должны помочь выяснить чья станция отправляет пакеты и какие пакеты на эти IP. <br> https://89.19.215.112/openforum/vsluhforumID1/86198.html#2 Mon, 10 Aug 2009 08:46:17 GMT &gt;incomplit значит был поллан arp запрос но ответ пока не получен. <br>&gt;<br>&gt;это либо локальные процессы пытались обращаться по эти ip ну или кто <br>&gt;то из клиентов если их маска подсети короче маски шлюза. <br><br>может быть такой вариант, что у кого-то троян какой-то завелся или еще какая-нибудь гадость? которая сканит сеть?<br><br>потому как такой диапазон айпи у меня никогда не использовался<br>и хотелось бы отловить по чьей вине постоянно такое количество арп-запросов валится<br>