36 отговора на тази тема

[angelnet]

Zdraveite imam sledniq problem.
Na vsichki klienti po cqlata mi mreja im izliza Ip conflict.Imam realni i nerealni ip-ta i ot dvete mreji davam primer 94.156.205.... i nerealni 172.18.33.... natnatite ipta sa 170 zad mikrotik 2.9.6 s kompiutar sled snega hora ot vsichkite sela pochnaha da mi se obajdat che im izliza syobshtenieto Ip conflict molq vi daite syvet che sam se vidql v chudo blagodarq!

[smacker]

Ти българица неможеш ли да пишеш ?
Ами виж си МАК адреса който ти дава IP конфликта. Виж и на суитчовете МАК таблиците и намери на кой порт е този МАК. Вземи един Wireshark и следи какво става с Gratuitous ARP пакетите.
Елементарно е да хванеш такъв проблем.

[angelnet]

ако може някой да каже стъпка по-стъпка как се открива проблема с wireshark благодаря

[plamenVd]

Баах  да не си ми доставчик!!!!!!!!!!!

[111111]

С тая дърта версия най вероятно ги раздаваш на DHCP в реинджове /24
от където и проблема
обнови си софтуера направи пулове с маска /26
застопори им мак адресите и дай на интерфейса да отговаря само на тези които ги знае

[angelnet]

няма DHCP

[master]

Имаш ли идея изобщо кой с кое IP трабва да е ? Явно, че някой не е с това което си му задал.

[kokaracha]

master написа на 30 януари 2012 - 20:56 :

Имаш ли идея изобщо кой с кое IP трабва да е ? Явно, че някой не е с това което си му задал.

И до сега как са знаели
По вероято да е  вирус в мрежата или по лошото,шегобиец

[angelnet]

всички IP адреси са статични в Микротика всички са описани и шейпнати излиза му Ip conflict  арпингвам го не ми отговаря няма същото IP с друг мак в арп таблицата на Микротика

[Mile]

май човека се шегува с нас. 500 маймуни да плащат за нещо подобно е малко вероятно ^^

силно препоръчвам темата:
http://www.mikrotik-...-продава-мрежа/

Този пост е редактиран от Mile: 30 януари 2012 - 21:20

[angelnet]

какво значи 500 маймуни да плащат за нещо подобно

[Tsunami]

Аз си мисля че някой суич прави тези номера. Моя съвет е ако нямаш средства за следене, почваш да откачаш един по един кабели от централния ти суич. В момента в който засечеш от кой лъч идват проблемите тръгваш по него.

Само да поясня че изобщо не знам каква е топологията на мрежата и само давам предположение.

[Mile]

Примерно ти би ли плащал на монтьор да ти смени полуоска, а той да тръгне да разпитва по форумите как става?


а 500 ако му плащат те какви са?

Този пост е редактиран от Mile: 30 януари 2012 - 21:21

[angelnet]

аз не съм тук да пиша глупости общо са 15 села и навсякаде им излиза и на реални и на нереални Ip

[angelnet]

на управляемия суич,където е гейта има 5 линка и оттам по селата има и села където прехварлям

[kokaracha]

статичен арп имаш ли ,ако нямаш пусни го,гледаи дали нещо сменя маци

[angelnet]

Mile написа на 30 януари 2012 - 21:21 :

Примерно ти би ли плащал на монтьор да ти смени полуоска, а той да тръгне да разпитва по форумите как става?


а 500 ако му плащат те какви са?

От 10 години се занимавам с Интернет никога не ми се е случвало такова нещо и затова питам

[Tsunami]

Помисли какво е правено последно преди да се яви проблема.
Насочи вниманието си към всяка промяна преди да стане това (нови клиенти, сменени устройства и т.н.).

Явно е че нещата са работили дълго време.
Какъв е управляемия суич?

[Mile]

sh logging
на свича. или аналога му (ако въобще има аналог)
sh mac address table interface xxx или vlan или каквото там се ползва
ето и повод да ги сегментираш селата. ако го беше направил щеше да са засегнати в пъти по-малко хора

Този пост е редактиран от Mile: 30 януари 2012 - 21:34

[gbdesign]

Според мен, някой клиент здраво си сменя IP адреса, карайки наред с надежата да получи нет, без да си е платил сметката. Свали си МАС протекшъна за да не прави мазало. Така ще има само 1 потърпевш а ти ще имаш време на спокойствие да го откриеш и да му насолиш канчето.

[smacker]

Ей, ама верно се цепите с глупости, вместо да помогнете на човека.
Вярно е, че да не си сегментираш мрежата на ВЛАН-и е голям пропуск. Но пък човека няма толкова клиенти че да ги сегментира. Но пък има достатъчно клонове които да предполагат различни ВЛАН-и.
Това е ситуация която може да се случи НА ВСЕКИ който не ползва PPOE. Така, че молете се да не Ви се случва, че ще пищите здраво.
Случвало ми се е няколко пъти. Първият път беше от рутер-сапунерка. Добре че беше на комшията над контролният център и го хванах бързо.
Възможността да е от обикновен суитч е много малка, тъй като суитча работи на Layer 2 и няма представа от ИП адреси.
Възможността да е от вирус на клиентски компютър е значително голяма. Много е вероятно клиента дори да не подозира, Това се лови по МАК адреса на компютъра.
За да ти даде ИП конфликт уиндоуса (както и много други ОС) праща WHO HAS arp заявка по мрежата за ИП-то което е конфигурирано. Соурс МАК адреса е нула или МАК адреса на мрежовата карта. Това се води въпросното Gratut....незнам си какво ARP.
Ако има друго устройство с този ИП адрес, то би отговорило на заявката с МАК адреса си.
Така ОС разбира, че в мрежата има ДРУГО устройство със същият ИП адрес. Уиндоус слага в системният ЛОГ тази информация за ИП конфликта като включва МАК адреса на устройството което е отговорило на въпросната заявка, след което извежда грешка за конфликт на ИП адреса. След което, Уиндоус не конфигурира ИП адреса.
В този случай, тъй като WHO HAS е броудкаст пакет, всяко едно устройство в мрежата го получава и съответно го обработва. Вируса няма проблем да отговаря на тези заявки с цел да "флуди" мрежата.

Проблема е, че има програмки които могат това да го правят нарочно с цел да гепят ИП/МАК адреси и/или с цел да ебават мрежата. Ама това засега не съм видял/чул някой да го е пускал в мрежа.

Та както колега казва по-горе, след като арпингне ИП адреса и не отговаря никой, вероятно е някой рутер който се е побъркал и отговаря на въпросните WHO HAS заявки, но въпреки това не си сменя ИП адреса. Или просто вирус.
Затова, при обстойно преглеждане на ARP трафика в мрежата, много лесно ще си проличи МАК адреса на устройството което МНОГО често отговаря на WHO HAS заявките, при това за различни ИП адреси.
След като има въпросният МАК - всеки занимавал се със управляеми суитчове знае какво се прави.

[dimo_tenev]

И на мене ми се случи преди няколко години и се оказа заразен абонат.. но мисля че е възможно и устройство да е било то рутер или суич..

[angelnet]

Съмнявам се,че може да е един гаден NETGEAR WI-FI G рутер на едни роми програмисти.Рутера им отговаря на ARPING,но не и на обикновен пинг.В микротика ми няма ARPING  и си свалих един инструмент ARPING от data.bg,от там ми отговаря.

[master]

Имам няколко нетгеара който не си отговарят на WAN порта на пинг. По спомен дори имаше опция да се спира това от настройките.

[smacker]

Всяка сапунерка от 30 лева има тази опция да не отговаря на пинг.
Всяка сапунерка от 30 лева до 150 лева ползва някакъв гаден фърмуер. Дори и линукс базиран.
Всяка сапунерка е направена да е ефтина и съответно чиповете и са "изпържени" толкова много, а охладителите на чиповете са надценени толкова много и особено на wireless-ите че на кратък период от време прегряват.
Калпаво написаният китайски фърмуеър е толкова гаден, че като види повече от 10 мак адреса на WAN (ако изобщо има такъв) порта почва да се чуди какво става тук.
Да не говорим, какво се получава ако види мултикаст пакет.
Сега си представете, като се опита някой да се закачи на Вашият рутер, през 2 блока в съседство със сигнал който може да провежда 2-3 мегабита.

На кратко, очаквайте всичко от рутер който струва малко пари. За рутер мога да разкзвам много... наистина много.

И все пак, най-доброто решение за клиента е, според мен, е ТП-Линк за 30-35 лева. Поне знаеш, че не си се преебал.

Този пост е редактиран от smacker: 30 януари 2012 - 23:07

[danielskiii]

МАК адреса на човека който прави проблем е открит

[Networker]

angelnet написа на 30 януари 2012 - 22:41 :

Съмнявам се,че може да е един гаден NETGEAR WI-FI G рутер на едни роми програмисти.Рутера им отговаря на ARPING,но не и на обикновен пинг.В микротика ми няма ARPING  и си свалих един инструмент ARPING от data.bg,от там ми отговаря.

По default не се пингват повечето рутери - включена е забрана за пинг от WAN порта. Докато ARPING отговора не се филтрира от firewall.
Smacker е дал доста добро обяснение на проблема в първия си пост. Само че и "тъпите" комутатори могат да генерират този проблем. При нас сме имали 2 пъти такива проблеми със прост 8 порт комутатор Repotec (викаме им killer switch ), който си kill-ва сегмента и всички users в този сегмент получават същото съобщение. Може да се прави и умишлено със софтуер, ако си с линукс има програми, които следят подобни действия в мрежата и бързо може да намериш мака на извършителя или частично да се защитиш от подобни проблеми.
Моя съвет е за сегментиране на мрежата.

Този пост е редактиран от Networker: 30 януари 2012 - 23:15

[Networker]

danielskiii написа на 30 януари 2012 - 23:10 :

МАК адреса на човека който прави проблем е открит

Дайте адреса му на потърпевшите потребители, те ще се разберат с него )

[gbdesign]

danielskiii написа на 30 януари 2012 - 23:10 :

МАК адреса на човека който прави проблем е открит

Сега остава да уточниш, дали е на Лан карта и ли на Рутер... щото ако е първото, моята версия си остава правдоподобна. За в бъдеще намери някъде да си качиш един arpwatch, да следи какво се случва с МАС адресите в мрежата. Версията с вирусите ми се вижда възможна но много малко вероятна. Такива вируси не съм виждал от години, пък и вероятноста в Горно нанадолнище да ги има а в големият град не, е малко вероятна. А за отживелици от рода на PPPoE се направи че не си прочел. Няма нито един голям доставчик, който да ползва този архаизъм...

[angelnet]

Намерихме проблема и е отстранен..... на човека му дават флашка да си инсталира "много хубава" програма (с някаква като ябълка икона) обърнала му на човека всичко в компютъра и нета му спрял...нямало как са обади по тъпи причини.Вързан е с радио,то е спряно.
Благодаря много на всички за съдействието!