Re: problem z arpwatchem ...
Witajcie,
sprawa staje sie dla mnie coraz bardziej pilna, rzeklbym staje sie
powoli sprawa krytyczna...
[sorki dla Pana Marka - dostanie dwa razy tego maila bo przez
przypadek dalem reply do niego a nie popatrzylem ze nie na grupe]
m>> prosze pomozcie, nie moge sobie poradzic. nie wiem co jest
m>> przyczyna...ale do rzeczy...
m>> Ostatnio neka mnie dosc mocno problem arpwatcha.
m>> w konfigu arpwatch.conf wpisuje :
...i dodam ze siedze w linuxie nie od miesiaca czy 2 lat.
o wiele dluzej. Jednak tutaj mam problem ktory mnie bardzo zasnatawia
i denerwuje jednoczesnie bo z chwila wlaczenia proxyarpa zaczely sie
dziac takie chece.
M> polecam popatrzez z godzinke co pokazuje
M> # tcpdump -ntvi eth0 arp
M> bo moze komus w lanie sie nuuuuudzi
nie, nikomu sie nie nudzi, to nie jeden komp tylko kazdy jeden
jestem prawie pewien ze to cos z konfiguracja.
moze grsecurity ? jest zpatchowane, troche rzeczy wlaczone...
arp who-has 192.168.1.1 tell 192.168.1.64
arp reply 192.168.1.1 is-at 0:a:5e:4:f4:15
arp who-has 192.168.1.6 tell 192.168.1.210
arp who-has 192.168.0.43 tell 192.168.1.144
arp who-has 192.168.0.20 tell 192.168.1.144
arp reply 192.168.0.20 is-at 0:a:5e:4:f4:15
arp reply 192.168.0.43 is-at 0:a:5e:4:f4:15
czyli kazdy IP ma adres 0:a..:15 ?
tu jest wlasnie cos nie tak. stad arpwatch podejrzewam cos znajduje.
ale skad takie pakiety ? 24h/dobe.
wlam nie wchodzi w gre
kombinatorzy rowniez.
> z tego wynika ze masz na necie losia, ktory sobie wpisal IP twojego
> serwera. Wydaje mi sie ze to jest najbardziej prawdopodobna przyczyna.
nie nie, gdyby sobie wpisal to ludzie wogole by neta nie mieli lub
mieli go skokowo. a siec dziala normalnie.
> po prostu w sieci sa dwa kompy, serwer i komp tego losia, ktore maja
> ustawiony ten sam IP. z punktu widzenia arpwatcha to tak, jakby jeden
> komputer w kolko zmienial swoj MAC, bez zmiany IP.
> taki stan pozwala to na przechwytywanie konekcji. tak ze jesli
> masz na serwerze jakies zasoby do ktorych sie trzeba zalogowac, to lepiej
> uwazaj.
wiem, ale to nie to.
> na takie dziadostwo jedynym lekarstwem jest ustawienie statycznego ARP na
> firewallu dostepu do internetu. ale jak ten los sie naumie zmieniac MAC,
> wowczas jedynym lekarstwem bedzie albo switch ktory umozliwia ustawienie
> statycznej tablicy adresow MAC, albo odlaczenie losia od sieci.
jest statyczne od samego powstania kazdej z sieci.
to nie dotyczy jednej sieci, lecz zdecydowanej wiekszosci. nie jest to
mozliwe by w kazdej sieci kazdy komp sial takimi adresami. Ten
argument odpada na 100%.
Bardziej podejrzewam cos na firewallu nie tak, lub w grsecurity.
Ale nie mam pomyslu. a problem jest dosc upierdliwy.
Zauwazcie ze podobny efekt jest jesli wlaczy sie proxyarp - wtedy
kazdy host w sieci ktory wysyla MACi jest logowany przez arpwatcha -
bo proxy arp przechodzi. ale to inna bajka.
rpfilter=1
--
Pozdrowienia,
Marcin.
Reply to: