Засичане на дублирано ип в локална мрежа

[sitnetworks]

Здравейте, моля ви за една елементарна помощ, но спешна че става голямо мазало. Имаме в един квартал компютър със имсталирам микротик. На машината е сложено ип 192.168.100.1 и раздава по статични ИП-та маскирани. Получи се следният проблем, някои е сложил същото ИП на компютъра си, и спира нета на всички след машината. Как мога да засека кои е и от къде идва, след като си е забранил пинга. Постоянно излиза и конфликт 192.168.100.1. Има ли някаква програма или как да му видя мака и кои е?

Вчера спрях сървъра за 10 минути точно когато го даде този проблем, и търсих машина с подобн ип, но нищо, и в арп-а на микротиците не се вижда машина със ип 192.168.100.1, как мога да го засека? Моля помогнете. Лошото е, че става отвреме на време, и то точно със ип-то на изходната карта на рутера.

Edited November 3, 2012 by sitnetworks

[gbdesign]

Доста съм сигурен че проблема ти не е такъв, какъвто си мислиш но ще коментирам според твоите убеждения. Не знам какви суичове ползваш, но примерно ако е възможна настройка за MAC age timе е разумно да се ползва и то със стойност от порядъка на 5 мин. Ако имаш умни суичове, може да зададеш статични ARP записи за рутера ти в тях. Ако суичовете ти поддържат порт базира V-lans просто го ползвай. Така клиентите ти виждат само рутера и не могат да си крадат МАС адреси един от друг. И на последно място. icmp ping е инструмент, за проверка на маршрути а не на пирати или "хакерчета". От Arping в локална мрежа, не можеш да скриеш нищо! Когато се случи дублирането на адресите, сетни си на маскираната мрежа друг IP адрес /без значение какъв/ и тогава с arping ще научиш какъв е МАС адреса на "хакера"... и ако имаш късмет да не си го е сменил, ще разбереш кой клиент е.

P.S.

Доста съм сигурен че проблема ти е от повреден суич по трасето, който прави грешна МАС таблица и дублира МАС адреса на рутера ти. Заради което клиентите губят връзка с него. Възможно е и някой умник да е объркал Gw и IP адрес, ако си е въвеждал ръчно настройки, което пък се случва заради пренебрежителното отношение на някои колеги към DHCP.

Edited November 3, 2012 by gbdesign

[Balthazar]

Дам просто някъде на 100% ти се за луупва мрежата, за това едно добро сегментиране на мрежата върши страхотна работа

[111111]

Още един глас за омазан суич

много лесно се работи с РРРоЕ

[sitnetworks]

Колеги, благодаря ви за ързите отговори. Според мен ибаче е клиент, защото в офиса ми съвсем случайно забелязах нода да пуска съобщения, засечен е еднакъв ИП адрес в мрежата 192.168.100.1. Появява се от време на време, явно когато абоната си пъсне компютъра. Имало е случай по 5 дена нищо и изведнъж се появява. Дайте идея за някаква програмка или нещо да го засеча от кои мак става дублирането, и от там да го пингвам по мак с микротика и да разбера къде е, че има фиравалл и немога да пингвам.

п.п. А PPPOE немога да ползвам, че има и много абонати на безцичен достъп и знаете, че там PPPOE протокола се разкача, много по чувствителен е. Ами това някъде в кеша на нода дали няма някакви мак адреси ако ида утре до офиса, понеже е засекла ип конфликта, дали не е записала нещо в лога? Просто ми трябва някаква програма или друго нещо да засече маковете на конфликтващите са ИП-та, или в кмикротика да настроя нещо?

Edited November 3, 2012 by sitnetworks

[111111]

В микротика може да зададеш статична арп таблица и да дадеш на интерфейса arp-reply режим

относно РРРоЕ през WiFi проблема си е в твоето WiFi на много места се ползва без проблем

[Mile]

вади кабелите наред.. и по "ламповата ситема".

аз ако бях клиент щях да ви го правя много по-често. в крайна сметка и това помага да поразвиете мрежата.

[Велин]

http://ipacct.com/bg...4win/

arping за windows върши работа и тръгваш по суичовете с един лаптоп , според мен може да е и рутер на клиент ако имаш повече от една мрежа може някой клиент да си е сетнал зад рутера твоя ип адрес

[gbdesign]

Дайте идея за някаква програмка или нещо да го засеча от кои мак става дублирането, и от там да го пингвам по мак с микротика и да разбера къде е, че има фиравалл и немога да пингвам.

Стига с това "не мога да пингвам" arping firewall не го лови. А "програма" /по-скоро демон или услуга/, която следи за променени IP-MAC двойки и въобще за всякакви нови включвания в мрежата е arpwatch.

[Networker]

За засичане на нарушителя програмката ти я казаха - arpwatch - сложи си едно PC с linux в мрежата, то ще ги следи и после си ги чети логовете, но зор ще го хванеш ако е калпав рутер или недоброжелател. От същото PC може да въртиш arping-ове, докато техниците спират мрежови сегменти.

Аз предполагам също, че е прецакан комутатор или клиентски рутер.

За да няма ядове - сегментация или PPPoE (да пробват да си сложат IP на PPPoE GW ).

Няма проблем да се ползва PPPoE през wireless линкове, стабилно е колкото стабилни са wireless-ите.

[Самуил Арсов]

Когато е само ethernet мак адресите се виждат винаги иначе няма как да комуникират с гейта. Няма значение дали хоста е с някакъв файърлол или не.

[admin@shipka] > ip arp print

Flags: X - disabled, I - invalid, H - DHCP, D - dynamic

# ADDRESS MAC-ADDRESS INTERFACE

0 D 192.168.121.250 00:0A:E6:90:C3:21 bridge1

1 D 192.168.122.156 00:0D:56:A6:18:04 bridge1

2 D 192.168.122.8 00:06:5B:11:1F:CC bridge1

3 D 192.168.122.224 FE:B4:8C:C5:F1:67 bridge1

4 D 192.168.122.215 00:19:DB:8C:DC:C0 bridge1

5 D 10.129.3.1 00:50:C2:52:D2:DD ether1-wan

6 D 192.168.122.157 00:11:11:3D:B0:D6 bridge1

7 D 192.168.122.223 02:C1:5A:6B:90:D6 bridge1

8 D 192.168.122.210 00:16:E6:30:3E:05 bridge1

9 D 192.168.122.229 FE:93:4A:48:90:62 bridge1

10 D 192.168.122.240 A0:00:00:05:6A:22 bridge1

11 D 192.168.122.6 00:06:5B:66:4C:6F bridge1

12 D 192.168.122.226 FE:0D:4D:C7:C2:7C bridge1

13 D 192.168.122.227 FE:18:3A:79:66:7B bridge1

Дали това ще го листнеш в микротика или с някаква програма е все вдно и също. Друг е въпроса, че само XP лови един отвратителен вирус който сменя мак адреса (не ип адреса) като на гейта и става страшен лаг в мрежата. Това е само с XP SP2 надолу версия - тоест в XP SP3 го няма. Възможно е затова да гърми антивируса. В чиста ethernet среда задължително:

/ip firewall filter

add chain=forward action=drop src-address=192.168.100.1 src-mac-address=!00:80:AF:77:8D:04 disabled=no

Това в никакъв случай няма да ти реши проблема но е начин в който в някаква степен ще си по спокоен някой да не си е сменил ип адреса защото ако не отговаря мак-а той няма да има нет.

Между другото когато луупне суич се получава подобна история като твоята но това го казаха доста хора над мен.

С моя скромен опит съм разбрал, че до определено количество ип адреси през един суич да кажем 100 или през 5 суича до 50 ип адреса започват проблемите. Ако са през един суич като станат 100 ип адреса или има някой заразен мак флудеер или пък друг е взел чужд адрес за да има нет. Когато пък станат повече суичове като забие някой не знаеш към кой да хванеш защото е ясно, че те не са на едно и също място както и кой адреси идват от там. Аз винаги предлагам 2 решения.

1. Някой вече беше казал VLAN. Найстина това е най доброто. !

2. Ако предположим, че суичовете ти не поддържат VLAN нарежи ги на мрежи или дори на маски. Не, не е глупава идеята ! Просто от суич А ще идват 192.168.100.0/24 а от Б 192.168.101.0/24 Ethernet пак ще съществува и ако има два мак-а пак ще стане лаг но пък в този случай поне ше има логичен источник (суич) на проблема.

Притеснва ме факта, че се появява от време на време .... ако е суич както си мислят всички как ще го хванеш незнам ...

[master]

Ако беше дал малко по подробна схема на мрежата можеше по - лесно да стане ясно какво е? Ако е суич най-лесното е да ги сменяш наред и то от някъде ще излезе.

[sitnetworks]

Ако беше дал малко по подробна схема на мрежата можеше по - лесно да стане ясно какво е? Ако е суич най-лесното е да ги сменяш наред и то от някъде ще излезе.

Прилагам енда малка аст от цялата мрежа - тя не е базирана изцало така но това е част от нея.

п.п. Да ви попитам тази програмка може ли да се пусне на Windows, или е само във вариянт за линукс среда (питам понеже имам много пуснати Windows машини видеосървари и други неща в мрежата и ще ми е много лесно да я пусна там накъде - да не инсталирам нова машина).

[Mile]

Предлагам ви да си намерите човек да ви реорганизира мрежата. Ще спечелите време да си поддържате нещата, от които разбирате.

[sitnetworks]

Предлагам ви да си намерите човек да ви реорганизира мрежата. Ще спечелите време да си поддържате нещата, от които разбирате.

Колега това го знам, ако исках да търся друг да съм го направил. За това питам тук за помощ. Ако исках накои друг да пипа нямаше да пиша във форума.

http://ipacct.com/bg...4win/

arping за windows върши работа и тръгваш по суичовете с един лаптоп , според мен може да е и рутер на клиент ако имаш повече от една мрежа може някой клиент да си е сетнал зад рутера твоя ип адрес

Колега много ти благодаря, току що я инсталирах и изписва адресите на сървъра (за сега само те излизат - с мак адреса на изходната карта), чудех се обаче понеже онзи адрес неможе да се пингва дали ще го покаже тази програмка? Искам да ву видя мака, от там ако е възможно през микротик мак пинг или скан и тогава ще спирам линии да видя от къде иде това.

Edited November 4, 2012 by sitnetworks

[Mile]

и аз искам да стана космонафт.. ама не ми се е получило засега.

имаш 5 суича на кръст и няколко ап-та и никаква идея какво да правиш.

не е добро начало.

за начало можеш да опиташ да си изясниш чисто за себе си L1/2 и етк.

http://bg.wikipedia.org/wiki/TCP/IP

Edited November 4, 2012 by Mile