форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как разобраться с arpи мак-адресами"

Сообщение от Skif (ok) on 21-Июн-06, 17:31

Собственно в чем проблема - ряд ip в сети оказывается занятым и потом идут постоянные конфликты. Например, мне необходимо назначит ip 10.0.38.250 машине, но тут же вылазит наружу, что ip занят и мак по arp пренадлежит другой машине: [root@k.com.ua] /mnt/Obmen/Skif/:arp -a | grep 00:03:47:30:2d:bc SYDNEY.k.local (10.0.38.3) at 00:03:47:30:2d:bc on rl0 [ethernet] ? (10.0.38.250) at 00:03:47:30:2d:bc on rl0 [ethernet] В данном конкретном случае это win2k3 Srv. Иду туда: F:\Scripts_1C>ipconfig /all Настройка протокола IP для Windows    Имя компьютера  . . . . . . . . . : SYDNEY    Основной DNS-суффикс  . . . . . . : k.local    Тип узла. . . . . . . . . . . . . : гибридный    IP-маршрутизация включена . . . . : нет    WINS-прокси включен . . . . . . . : нет    Порядок просмотра суффиксов DNS . : k.local Local Area Connection - Ethernet адаптер:    DNS-суффикс этого подключения . . :    Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Dual Port Network Connection    Физический адрес. . . . . . . . . : 00-03-47-30-2D-BC    DHCP включен. . . . . . . . . . . : нет    IP-адрес  . . . . . . . . . . . . : 10.0.38.3    Маска подсети . . . . . . . . . . : 255.255.255.0    Основной шлюз . . . . . . . . . . : 10.0.38.224    DNS-серверы . . . . . . . . . . . : 10.0.38.1                                        10.0.38.224    Основной WINS-сервер  . . . . . . : 10.0.38.1 F:\Scripts_1C> тоесть, машина чистая, ip у нее не прописан,а всеравно mac-адресс ее сетевой. DHCP сервера в сети нет, что бы он вносил непонятки. Собственно вопрос, чем это может быть вызвано(захват ip, так сказать) и как с этим бороться. PS: вот что происходит после очиcтки таблицы arp-ов: [root@k.com.ua] /mnt/Obmen/Skif/:ping 10.0.38.250 PING 10.0.38.250 (10.0.38.250): 56 data bytes 64 bytes from 10.0.38.250: icmp_seq=0 ttl=128 time=0.477 ms 64 bytes from 10.0.38.250: icmp_seq=1 ttl=128 time=0.450 ms 64 bytes from 10.0.38.250: icmp_seq=2 ttl=128 time=0.269 ms ^C --- 10.0.38.250 ping statistics --- 10 packets transmitted, 3 packets received, 70% packet loss

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Как разобраться с arpи мак-адресами"

Сообщение от Xmas (ok) on 22-Июн-06, 13:45

>тоесть, машина чистая, ip у нее не прописан,а всеравно mac-адресс ее сетевой. >DHCP сервера в сети нет, что бы он вносил непонятки. >Собственно вопрос, чем это может быть вызвано(захват ip, так сказать) и как >с этим бороться. Оооочень похоже на действие honeyd и прочих похожих утилей, кот. просто захватывают свободные адреса в пуле. Советую еще раз подойти к серверу на Вин2к и покурить над процессами запущенными на этой машине

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "Как разобраться с arpи мак-адресами"
	Сообщение от Skif (ok) on 22-Июн-06, 15:40
	>>тоесть, машина чистая, ip у нее не прописан,а всеравно mac-адресс ее сетевой. >>DHCP сервера в сети нет, что бы он вносил непонятки. >>Собственно вопрос, чем это может быть вызвано(захват ip, так сказать) и как >>с этим бороться. >Оооочень похоже на действие honeyd и прочих похожих утилей, кот. просто захватывают >свободные адреса в пуле. Советую еще раз подойти к серверу на >Вин2к и покурить над процессами запущенными на этой машине Увы, ничего подозрительного - стандартные системные сервисы + процессы пользователей к опубликованной через Citrix 1C. Да суть не в этом, у меня подобное происходит и с фряхами. Тоесть прибиваю машине ip - она пишет конфликт arp показывает mac фряшной машины. В списке процессов (вот top, он совсем маленький, просто nfs сервер):   PID USERNAME  THR PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND 20759 root        1  96    0  2272K  1352K RUN      0:00  0.51% top 18068 skif        1  96    0  6076K  2248K select   0:00  0.05% sshd   476 root        1  96    0  3416K  2160K select   0:24  0.00% sendmail   496 root        1   8    0  1312K   856K nanslp   0:04  0.00% cron   314 root        1  96    0  1296K   752K select   0:03  0.00% syslogd   424 root        1  96    0  1208K   696K select   0:01  0.00% usbd   329 root        1  96    0  1368K   888K select   0:01  0.00% rpcbind   480 smmsp       1  20    0  3296K  1916K pause    0:01  0.00% sendmail 18076 root        1  20    0  3988K  2184K pause    0:00  0.00% tcsh 18065 root        1   4    0  6100K  2216K sbwait   0:00  0.00% sshd 18069 skif        1  20    0  3728K  1952K pause    0:00  0.00% tcsh   400 root        1   4    0  1232K   832K accept   0:00  0.00% nfsd   470 root        1  96    0  3352K  1608K select   0:00  0.00% sshd   531 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty   529 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty   530 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty   535 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty   534 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty   532 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty   533 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty   536 root        1   5    0  1264K   812K ttyin    0:00  0.00% getty   398 root        1 109    0  1284K   928K select   0:00  0.00% mountd   285 root        1  97    0   500K   264K select   0:00  0.00% devd   402 root        1   4    0  1192K   696K -        0:00  0.00% nfsd   403 root        1   4    0  1192K   696K -        0:00  0.00% nfsd   405 root        1   4    0  1192K   696K -        0:00  0.00% nfsd   404 root        1   4    0  1192K   696K -        0:00  0.00% nfsd Ничего такого. [root@d.mig] /usr/home/skif/:ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         options=8<VLAN_MTU>         inet 10.0.38.223 netmask 0xffffff00 broadcast 10.0.38.255         ether 00:50:fc:e6:04:c1         media: Ethernet autoselect (100baseTX <full-duplex>)         status: active lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384         inet 127.0.0.1 netmask 0xff000000 Тоже чисто... И таких примеров с десяток. Фряхи винды, линусяторы в перемешку. При чем немогу отследить системы. Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего пока не дал...
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "Как разобраться с arpи мак-адресами"
	Сообщение от Xmas (??) on 23-Июн-06, 01:33
	>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что >все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего >пока не дал... возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно, когда происходит так называемый "захват ip" MAC адрес машины кот. его захватывает один и тот же, или все время разный?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Как разобраться с arpи мак-адресами"
	Сообщение от Skif (ok) on 23-Июн-06, 10:51
	>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что >>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего >>пока не дал... >возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно, ок. посмотрим. Пока только Ethereal просматриваю траффик. >когда происходит так называемый "захват ip" MAC адрес машины кот. его >захватывает один и тот же, или все время разный? Всегда "захват" производят одни и те же машины. в частности за 10.0.38.250 "отвечает" 10.0.38.3 А происходит это так. Чищу таблицу arp. Тут же даю пинг по сети. машина находится моментом, проходит 2-5 пакетов,а потом ip привязывается к mac другой машины. Ессно там нету  этого ip и она естественно не отвечает. Родилась правда такая мысль, что связано может быть косвенно с тем, что центральные цисковские свитчи виноваты, но их столько уже раз бутали и сбрасывали память...
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Как разобраться с arpи мак-адресами"
	Сообщение от Skif (ok) on 23-Июн-06, 12:24
	>>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что >>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего >>>пока не дал... >>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно, > >ок. посмотрим. Пока только Ethereal просматриваю траффик. Вот кусочек лога после очистки arp таблиц arp -a -d пускаю ping 10.0.38.250 и имею в лог: Jun 23 11:07:22 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc Jun 23 11:07:22 podol arpwatch: new station 10.0.38.170 0:c0:26:31:50:2a Jun 23 11:07:23 podol arpwatch: changed ethernet address 10.0.38.250 0:2:a5:68:16:cf (0:3:47:30:2d:bc) Jun 23 11:07:23 podol arpwatch: flip flop 10.0.38.250 0:3:47:30:2d:bc (0:2:a5:68:16:cf) Jun 23 11:07:24 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc Jun 23 11:07:25 podol arpwatch: new station 10.0.38.252 0:80:48:b5:1e:11 Увы, ничего нового
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Как разобраться с arpи мак-адресами"
	Сообщение от lavr on 23-Июн-06, 12:38
	>>>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что >>>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего >>>>пока не дал... >>>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно, >> >>ок. посмотрим. Пока только Ethereal просматриваю траффик. > >Вот кусочек лога после очистки arp таблиц arp -a -d пускаю ping >10.0.38.250 и имею в лог: >Jun 23 11:07:22 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc >Jun 23 11:07:22 podol arpwatch: new station 10.0.38.170 0:c0:26:31:50:2a >Jun 23 11:07:23 podol arpwatch: changed ethernet address 10.0.38.250 0:2:a5:68:16:cf (0:3:47:30:2d:bc) >Jun 23 11:07:23 podol arpwatch: flip flop 10.0.38.250 0:3:47:30:2d:bc (0:2:a5:68:16:cf) >Jun 23 11:07:24 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc >Jun 23 11:07:25 podol arpwatch: new station 10.0.38.252 0:80:48:b5:1e:11 > > >Увы, ничего нового в Windoze я спец НИКАКОЙ, поэтому попробую сумбурно по памяти несколько своих старых случаев: прим: в локальных сетях ПРАВИЛЬНО вести базу: выдача IP + привязка MAC, выдача по оформлению заявки и внесению в базу. - вариант с Windoze, как всегда тупое жамкание на клавиши и включение DHCP - вариант с разными моделями свитчей, пока vlan'ы не включишь, творится полная хрень с портами, скоростями и кто с них отвечает - вариант с маршрутизацией на кисках, что-то хитрое и требует дополнительной привязки к mac'ам карт чтобы gateway за них не отвечал, потом кошкари про это забывают и начинается flip-flop и mac'и в кешах что-то еще, пока верхнее отписывал - забыл :( Вобщем тут нужно выискивать по MAC'ам ХТО, отрубать на кошках и ждать когда ОБЪЯВЯТСЯ на разборки - вот тут и выяснять.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Как разобраться с arpи мак-адресами"
	Сообщение от Skif (ok) on 23-Июн-06, 13:09
	>>>>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что >>>>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего >>>>>пока не дал... >>>>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно, >>> >>>ок. посмотрим. Пока только Ethereal просматриваю траффик. >> >>Вот кусочек лога после очистки arp таблиц arp -a -d пускаю ping >>10.0.38.250 и имею в лог: >>Jun 23 11:07:22 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc >>Jun 23 11:07:22 podol arpwatch: new station 10.0.38.170 0:c0:26:31:50:2a >>Jun 23 11:07:23 podol arpwatch: changed ethernet address 10.0.38.250 0:2:a5:68:16:cf (0:3:47:30:2d:bc) >>Jun 23 11:07:23 podol arpwatch: flip flop 10.0.38.250 0:3:47:30:2d:bc (0:2:a5:68:16:cf) >>Jun 23 11:07:24 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc >>Jun 23 11:07:25 podol arpwatch: new station 10.0.38.252 0:80:48:b5:1e:11 >> >> >>Увы, ничего нового > >в Windoze я спец НИКАКОЙ, поэтому попробую сумбурно по памяти несколько своих >старых >случаев: > >прим: в локальных сетях ПРАВИЛЬНО вести базу: выдача IP + привязка MAC, >выдача по >оформлению заявки и внесению в базу. > >- вариант с Windoze, как всегда тупое жамкание на клавиши и включение >DHCP >- вариант с разными моделями свитчей, пока vlan'ы не включишь, творится полная >хрень >с портами, скоростями и кто с них отвечает >- вариант с маршрутизацией на кисках, что-то хитрое и требует дополнительной привязки > >к mac'ам карт чтобы gateway за них не отвечал, потом кошкари про >это забывают и >начинается flip-flop и mac'и в кешах а вот про это подробнее можно? Стоят там Catalyst 2950 в центральных узлах. Vlan-ы подняты. Так же поднят один etherChanel для увеличения пропуска на маршрутизатор (FreeBSD). Остальной кусок сетки раздают от Catalyst обычные неуправляемые свитчи начиная от 3Com, заканчивая Planet-ами... Но вот с ними то как раз проблем нет - все проблемы на серверах которые напрямую воткнуты в Cisco-вский коммутатор. Единственный сервер который явно "отличается" воткнут в 3Com вский свитч и имеет этот самый 10.0.38.250 ip. ТОчнее хочет иметь. Но "имеет" его другой, который в каталисту впихнут. Вот и немогу понять логику КАК выхватываются ip-шники... > >что-то еще, пока верхнее отписывал - забыл :( > >Вобщем тут нужно выискивать по MAC'ам ХТО, отрубать на кошках и ждать >когда ОБЪЯВЯТСЯ >на разборки - вот тут и выяснять. Увы, увы... Не получиться - все "клиенты" сервера, либо терминальные, либо NFS, либо... Тоесть не катит. От DHCP отказывался из тех же соображений - хоть раз в месяц, но конфликт выскакивает в большой сети при появлении новых машин.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	8. "Как разобраться с arpи мак-адресами"
	Сообщение от lavr on 23-Июн-06, 13:18
	>>>>>>Вот и нужна мысль - что могло бы вызвать "такое". Предполагаю, что >>>>>>все же где-то мог возникнуть "неучтенный" DHCP, но снифинг сетки ничего >>>>>>пока не дал... >>>>>возможно arpwatch даст ответы на ваши вопросы, а еще маленько не понятно, >>>> >>>>ок. посмотрим. Пока только Ethereal просматриваю траффик. >>> >>>Вот кусочек лога после очистки arp таблиц arp -a -d пускаю ping >>>10.0.38.250 и имею в лог: >>>Jun 23 11:07:22 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc >>>Jun 23 11:07:22 podol arpwatch: new station 10.0.38.170 0:c0:26:31:50:2a >>>Jun 23 11:07:23 podol arpwatch: changed ethernet address 10.0.38.250 0:2:a5:68:16:cf (0:3:47:30:2d:bc) >>>Jun 23 11:07:23 podol arpwatch: flip flop 10.0.38.250 0:3:47:30:2d:bc (0:2:a5:68:16:cf) >>>Jun 23 11:07:24 podol arpwatch: bogon 192.168.30.32 0:e:c:3d:c2:dc >>>Jun 23 11:07:25 podol arpwatch: new station 10.0.38.252 0:80:48:b5:1e:11 >>> >>> >>>Увы, ничего нового >> >>в Windoze я спец НИКАКОЙ, поэтому попробую сумбурно по памяти несколько своих >>старых >>случаев: >> >>прим: в локальных сетях ПРАВИЛЬНО вести базу: выдача IP + привязка MAC, >>выдача по >>оформлению заявки и внесению в базу. >> >>- вариант с Windoze, как всегда тупое жамкание на клавиши и включение >>DHCP >>- вариант с разными моделями свитчей, пока vlan'ы не включишь, творится полная >>хрень >>с портами, скоростями и кто с них отвечает >>- вариант с маршрутизацией на кисках, что-то хитрое и требует дополнительной привязки >> >>к mac'ам карт чтобы gateway за них не отвечал, потом кошкари про >>это забывают и >>начинается flip-flop и mac'и в кешах > >а вот про это подробнее можно? Стоят там Catalyst 2950 в центральных если бы помнил, то отписал бы, но не помню и главное не знаю ЧТО и КАК настраивали кошкари, спросил бы, но тот который нужен - не разговаривает со мной пАчему та :( >узлах. Vlan-ы подняты. Так же поднят один etherChanel для увеличения пропуска >на маршрутизатор (FreeBSD). Остальной кусок сетки раздают от Catalyst обычные неуправляемые >свитчи начиная от 3Com, заканчивая Planet-ами... Но вот с ними то >как раз проблем нет - все проблемы на серверах которые напрямую >воткнуты в Cisco-вский коммутатор. >Единственный сервер который явно "отличается" воткнут в 3Com вский свитч и имеет >этот самый 10.0.38.250 ip. ТОчнее хочет иметь. Но "имеет" его другой, >который в каталисту впихнут. >Вот и немогу понять логику КАК выхватываются ip-шники... >> >>что-то еще, пока верхнее отписывал - забыл :( >> >>Вобщем тут нужно выискивать по MAC'ам ХТО, отрубать на кошках и ждать >>когда ОБЪЯВЯТСЯ >>на разборки - вот тут и выяснять. > >Увы, увы... Не получиться - все "клиенты" сервера, либо терминальные, либо NFS, >либо... Тоесть не катит. От DHCP отказывался из тех же соображений >- хоть раз в месяц, но конфликт выскакивает в большой сети >при появлении новых машин. у меня нет альтернативы КРОМЕ как ОТРУБИТЬ и ЖДАТЬ гостей с РУГАНЬЮ, все остальное - ГАДАНИЕ.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	9. "Как разобраться с arpи мак-адресами"
	Сообщение от Skif (ok) on 23-Июн-06, 17:00
	>>а вот про это подробнее можно? Стоят там Catalyst 2950 в центральных > >если бы помнил, то отписал бы, но не помню и главное не >знаю ЧТО и КАК настраивали >кошкари, спросил бы, но тот который нужен - не разговаривает со мной >пАчему та :( > жаль > >у меня нет альтернативы КРОМЕ как ОТРУБИТЬ и ЖДАТЬ гостей с РУГАНЬЮ, >все остальное >- ГАДАНИЕ. Только это и остается. Ну как вариант статикой забить на машины mac+ip в arp-ы, но ой как не хочется, хочется причину найти.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	10. "Как разобраться с arpи мак-адресами"
	Сообщение от Skif (ok) on 23-Июн-06, 17:20
	Да, еще зарисовка, только что обнаружил. С "захватчика" проблемные хосты пингаются нормально. в arp-ах только нужные mac-и
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]