Jump to content
  • 0

Засичане на дублирано ип в локална мрежа


sitnetworks

Question

Здравейте, моля ви за една елементарна помощ, но спешна че става голямо мазало. Имаме в един квартал компютър със имсталирам микротик. На машината е сложено ип 192.168.100.1 и раздава по статични ИП-та маскирани. Получи се следният проблем, някои е сложил същото ИП на компютъра си, и спира нета на всички след машината. Как мога да засека кои е и от къде идва, след като си е забранил пинга. Постоянно излиза и конфликт 192.168.100.1. Има ли някаква програма или как да му видя мака и кои е?

Вчера спрях сървъра за 10 минути точно когато го даде този проблем, и търсих машина с подобн ип, но нищо, и в арп-а на микротиците не се вижда машина със ип 192.168.100.1, как мога да го засека? Моля помогнете. Лошото е, че става отвреме на време, и то точно със ип-то на изходната карта на рутера.

Edited by sitnetworks
Link to comment
Share on other sites

Recommended Posts

  • 0

Доста съм сигурен че проблема ти не е такъв, какъвто си мислиш но ще коментирам според твоите убеждения. Не знам какви суичове ползваш, но примерно ако е възможна настройка за MAC age timе е разумно да се ползва и то със стойност от порядъка на 5 мин. Ако имаш умни суичове, може да зададеш статични ARP записи за рутера ти в тях. Ако суичовете ти поддържат порт базира V-lans просто го ползвай. Така клиентите ти виждат само рутера и не могат да си крадат МАС адреси един от друг. И на последно място. icmp ping е инструмент, за проверка на маршрути а не на пирати или "хакерчета". От Arping в локална мрежа, не можеш да скриеш нищо! Когато се случи дублирането на адресите, сетни си на маскираната мрежа друг IP адрес /без значение какъв/ и тогава с arping ще научиш какъв е МАС адреса на "хакера"... и ако имаш късмет да не си го е сменил, ще разбереш кой клиент е.

P.S.

Доста съм сигурен че проблема ти е от повреден суич по трасето, който прави грешна МАС таблица и дублира МАС адреса на рутера ти. Заради което клиентите губят връзка с него. Възможно е и някой умник да е объркал Gw и IP адрес, ако си е въвеждал ръчно настройки, което пък се случва заради пренебрежителното отношение на някои колеги към DHCP.

Edited by gbdesign
Link to comment
Share on other sites

  • 0

Дам просто някъде на 100% ти се за луупва мрежата, за това едно добро сегментиране на мрежата върши страхотна работа :)

Link to comment
Share on other sites

  • 0
  • Administrator

Още един глас за омазан суич

много лесно се работи с РРРоЕ

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Колеги, благодаря ви за ързите отговори. Според мен ибаче е клиент, защото в офиса ми съвсем случайно забелязах нода да пуска съобщения, засечен е еднакъв ИП адрес в мрежата 192.168.100.1. Появява се от време на време, явно когато абоната си пъсне компютъра. Имало е случай по 5 дена нищо и изведнъж се появява. Дайте идея за някаква програмка или нещо да го засеча от кои мак става дублирането, и от там да го пингвам по мак с микротика и да разбера къде е, че има фиравалл и немога да пингвам.

п.п. А PPPOE немога да ползвам, че има и много абонати на безцичен достъп и знаете, че там PPPOE протокола се разкача, много по чувствителен е. Ами това някъде в кеша на нода дали няма някакви мак адреси ако ида утре до офиса, понеже е засекла ип конфликта, дали не е записала нещо в лога? Просто ми трябва някаква програма или друго нещо да засече маковете на конфликтващите са ИП-та, или в кмикротика да настроя нещо?

Edited by sitnetworks
Link to comment
Share on other sites

  • 0
  • Administrator

В микротика може да зададеш статична арп таблица и да дадеш на интерфейса arp-reply режим

относно РРРоЕ през WiFi проблема си е в твоето WiFi на много места се ползва без проблем

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

вади кабелите наред.. и по "ламповата ситема".

аз ако бях клиент щях да ви го правя много по-често. в крайна сметка и това помага да поразвиете мрежата.

Link to comment
Share on other sites

  • 0
  • Administrator

http://ipacct.com/bg...4win/

arping за windows върши работа и тръгваш по суичовете с един лаптоп :) , според мен може да е и рутер на клиент ако имаш повече от една мрежа може някой клиент да си е сетнал зад рутера твоя ип адрес :)

Не отговарям на постове написани с шльокавица!

Link to comment
Share on other sites

  • 0

Дайте идея за някаква програмка или нещо да го засеча от кои мак става дублирането, и от там да го пингвам по мак с микротика и да разбера къде е, че има фиравалл и немога да пингвам.

Стига с това "не мога да пингвам" arping firewall не го лови. А "програма" /по-скоро демон или услуга/, която следи за променени IP-MAC двойки и въобще за всякакви нови включвания в мрежата е arpwatch.

Link to comment
Share on other sites

  • 0

За засичане на нарушителя програмката ти я казаха - arpwatch - сложи си едно PC с linux в мрежата, то ще ги следи и после си ги чети логовете, но зор ще го хванеш ако е калпав рутер или недоброжелател. От същото PC може да въртиш arping-ове, докато техниците спират мрежови сегменти.

Аз предполагам също, че е прецакан комутатор или клиентски рутер.

За да няма ядове - сегментация или PPPoE (да пробват да си сложат IP на PPPoE GW :D).

Няма проблем да се ползва PPPoE през wireless линкове, стабилно е колкото стабилни са wireless-ите.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

  • 0
  • Administrator

Когато е само ethernet мак адресите се виждат винаги иначе няма как да комуникират с гейта. Няма значение дали хоста е с някакъв файърлол или не.

[admin@shipka] > ip arp print

Flags: X - disabled, I - invalid, H - DHCP, D - dynamic

# ADDRESS MAC-ADDRESS INTERFACE

0 D 192.168.121.250 00:0A:E6:90:C3:21 bridge1

1 D 192.168.122.156 00:0D:56:A6:18:04 bridge1

2 D 192.168.122.8 00:06:5B:11:1F:CC bridge1

3 D 192.168.122.224 FE:B4:8C:C5:F1:67 bridge1

4 D 192.168.122.215 00:19:DB:8C:DC:C0 bridge1

5 D 10.129.3.1 00:50:C2:52:D2:DD ether1-wan

6 D 192.168.122.157 00:11:11:3D:B0:D6 bridge1

7 D 192.168.122.223 02:C1:5A:6B:90:D6 bridge1

8 D 192.168.122.210 00:16:E6:30:3E:05 bridge1

9 D 192.168.122.229 FE:93:4A:48:90:62 bridge1

10 D 192.168.122.240 A0:00:00:05:6A:22 bridge1

11 D 192.168.122.6 00:06:5B:66:4C:6F bridge1

12 D 192.168.122.226 FE:0D:4D:C7:C2:7C bridge1

13 D 192.168.122.227 FE:18:3A:79:66:7B bridge1
Дали това ще го листнеш в микротика или с някаква програма е все вдно и също. Друг е въпроса, че само XP лови един отвратителен вирус който сменя мак адреса (не ип адреса) като на гейта и става страшен лаг в мрежата. Това е само с XP SP2 надолу версия - тоест в XP SP3 го няма. Възможно е затова да гърми антивируса. В чиста ethernet среда задължително:
/ip firewall filter

add chain=forward action=drop src-address=192.168.100.1 src-mac-address=!00:80:AF:77:8D:04 disabled=no

Това в никакъв случай няма да ти реши проблема но е начин в който в някаква степен ще си по спокоен някой да не си е сменил ип адреса защото ако не отговаря мак-а той няма да има нет.

Между другото когато луупне суич се получава подобна история като твоята но това го казаха доста хора над мен.

С моя скромен опит съм разбрал, че до определено количество ип адреси през един суич да кажем 100 или през 5 суича до 50 ип адреса започват проблемите. Ако са през един суич като станат 100 ип адреса или има някой заразен мак флудеер или пък друг е взел чужд адрес за да има нет. Когато пък станат повече суичове като забие някой не знаеш към кой да хванеш защото е ясно, че те не са на едно и също място както и кой адреси идват от там. Аз винаги предлагам 2 решения.

1. Някой вече беше казал VLAN. Найстина това е най доброто. !

2. Ако предположим, че суичовете ти не поддържат VLAN нарежи ги на мрежи или дори на маски. Не, не е глупава идеята ! Просто от суич А ще идват 192.168.100.0/24 а от Б 192.168.101.0/24 Ethernet пак ще съществува и ако има два мак-а пак ще стане лаг но пък в този случай поне ше има логичен источник (суич) на проблема.

Притеснва ме факта, че се появява от време на време .... ако е суич както си мислят всички как ще го хванеш незнам ...

Link to comment
Share on other sites

  • 0

Ако беше дал малко по подробна схема на мрежата можеше по - лесно да стане ясно какво е? Ако е суич най-лесното е да ги сменяш наред и то от някъде ще излезе.

Analog Audio™

Link to comment
Share on other sites

  • 0

Ако беше дал малко по подробна схема на мрежата можеше по - лесно да стане ясно какво е? Ако е суич най-лесното е да ги сменяш наред и то от някъде ще излезе.

Прилагам енда малка аст от цялата мрежа - тя не е базирана изцало така но това е част от нея.

п.п. Да ви попитам тази програмка може ли да се пусне на Windows, или е само във вариянт за линукс среда (питам понеже имам много пуснати Windows машини видеосървари и други неща в мрежата и ще ми е много лесно да я пусна там накъде - да не инсталирам нова машина).

post-57-0-98318900-1352024484_thumb.jpg

Link to comment
Share on other sites

  • 0

Предлагам ви да си намерите човек да ви реорганизира мрежата. Ще спечелите време да си поддържате нещата, от които разбирате.

  • Like 1
Link to comment
Share on other sites

  • 0

Предлагам ви да си намерите човек да ви реорганизира мрежата. Ще спечелите време да си поддържате нещата, от които разбирате.

Колега това го знам, ако исках да търся друг да съм го направил. За това питам тук за помощ. Ако исках накои друг да пипа нямаше да пиша във форума.

http://ipacct.com/bg...4win/

arping за windows върши работа и тръгваш по суичовете с един лаптоп :) , според мен може да е и рутер на клиент ако имаш повече от една мрежа може някой клиент да си е сетнал зад рутера твоя ип адрес :)

Колега много ти благодаря, току що я инсталирах и изписва адресите на сървъра (за сега само те излизат - с мак адреса на изходната карта), чудех се обаче понеже онзи адрес неможе да се пингва дали ще го покаже тази програмка? Искам да ву видя мака, от там ако е възможно през микротик мак пинг или скан и тогава ще спирам линии да видя от къде иде това.

Edited by sitnetworks
Link to comment
Share on other sites

  • 0

и аз искам да стана космонафт.. ама не ми се е получило засега.

имаш 5 суича на кръст и няколко ап-та и никаква идея какво да правиш.

не е добро начало.

за начало можеш да опиташ да си изясниш чисто за себе си L1/2 и етк.

http://bg.wikipedia.org/wiki/TCP/IP

Edited by Mile
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.