Засичане на дублирано ип в локална мрежа

[sitnetworks]

Здравейте, моля ви за една елементарна помощ, но спешна че става голямо мазало. Имаме в един квартал компютър със имсталирам микротик. На машината е сложено ип 192.168.100.1 и раздава по статични ИП-та маскирани. Получи се следният проблем, някои е сложил същото ИП на компютъра си, и спира нета на всички след машината. Как мога да засека кои е и от къде идва, след като си е забранил пинга. Постоянно излиза и конфликт 192.168.100.1. Има ли някаква програма или как да му видя мака и кои е?

Вчера спрях сървъра за 10 минути точно когато го даде този проблем, и търсих машина с подобн ип, но нищо, и в арп-а на микротиците не се вижда машина със ип 192.168.100.1, как мога да го засека? Моля помогнете. Лошото е, че става отвреме на време, и то точно със ип-то на изходната карта на рутера.

Редактирано 3 Ноември, 2012 от sitnetworks

[Balthazar]

Като цяло първо си направете правилен сегмент на мрежата 2 ро дали ще ползваш някакъв уин тоолс или това което ти вади микротик в арп таблиците няма да видиш нищо различно.. И аз си оставам твърдо зад мнението ти че мрежата ти е залупена някъде ако някой клонираше мак или е заразен или квото и да е щеше да ти го индексира в арп лист-а или ако някой се опитваше да се логва с ип-то ти щеше да ти го вади в логовете... Както казах за мен това си е чист тъп ЛУП на мрежата ти

[gbdesign]

Каква е тази любов към Уиндоус?!... Майкрософт изначало си е скаран с всичко де е мрежа. Арпинг за Уиндоус, едва ли ще ти извади МАС конфликт, дори и да има такъв, просто защото не работи с истински библиотеки, като libnet и libpcap а с някое M$ недоразумение. Учи Linux или BSD и чети основна теория, както ти каза Миле. Консултирай се с някого, да ти пооправи топологията на мрежата. Където е възможно, замени линковете с оптика. Сигментирай! Дали ще е на layer-2 или на Layer-3 ти си прецени... аз предпочитам първият вариант. Мрежата трябва да е структурирана така, че при някаква поразия, да се засягат минимален брой клиенти.

[sitnetworks]

Колеги инсталирах програмката и вижте какво ми дава: 20121104202316: IP 192.168.100.1 changed MAC from 00-0e-2e-90-d4-d8 to 00-00-00-00-00-00

п.п. не са 5 суича а след тези радиовръзки има почти на всеки блок - може би са над 40 - 50

[danielskiii]

40-50 суйч -а тая мрежа на 5-10 влан-а дали не може се сегментира ?

[Mile]

има евтини и хубави неща.. ебаното е че ги продават отделно.

най-простото и очевидно от самолет е, че свич 2 трябва да е поне малко управляем.

[Balthazar]

Смени ип-то което мислиш че дублират и си готов и ще видиш кой мак е но продължавам да твърдя че не е дублирано ип

[Tsunami]

Колеги инсталирах програмката и вижте какво ми дава: 20121104202316: IP 192.168.100.1 changed MAC from 00-0e-2e-90-d4-d8 to 00-00-00-00-00-00

п.п. не са 5 суича а след тези радиовръзки има почти на всеки блок - може би са над 40 - 50

Това може да е от повреден хардуер (лаптоп, рутер, комп и т.н.). Да не би мрежовата карта на рутера да ти прави проблем? Ако имаш свободна на рутера премести си настройките там и наблюдавай за промени.

[111111]

смяна на мак адреса на рутера е най лесно за елементарна проверка

[Mile]

а нормалния свич да е изквичал 300 пъти досега mac-flap и да е приключил въпроса. да е намерен и отстранен проблема.

[Balthazar]

Явно липсват средства за нормален switch след като е решил толкова да се истормози..

[smacker]

Подкрепям колегите gbdesign и Миле.

Никога досега не съм ползвал Уиндоус за мрежова работа и незнам как разните му туулчета ще работят.

Един обикновен apring под всеки линукс ще покаже ако имаш дублиран мак или дублиран ИП адрес.

От там натаък, метода на лампата. Изключваш и включваш по портовете. Ако имаш управляеми суитчове - търсиш на кой порт е въпросният МАК.

Доколко може да се вярва на уиндоуските МАК туулчет, МАК с толкова нули намирисва на пишман хакерче или калпав рутер. Но при всяко едно положение, метода на лампата ще ти трябва.

[gbdesign]

Колеги инсталирах програмката и вижте какво ми дава: 20121104202316: IP 192.168.100.1 changed MAC from 00-0e-2e-90-d4-d8 to 00-00-00-00-00-00

МАС адрес 00:00:00:00:00:00 е служебен и означава "нямам МАС". Има не малка вероятност и да става дума за вирус. Преди години имаше такъв, който чупеше мрежовият стек на Буза ХР и правеше аналогични проблеми.

[sitnetworks]

Благодаря ви колеги за отделеното време днес инсталирах програмата която ми каза колегата Велин от Златоград на компютъра в офиса. И изкара наи после МАК адреса които прави проблема. Познах да разкачамм линии за по половин минута с лаптопа и локализирах от кои квартал идва проблема. Сведох нещата до 3 блока, и докато ида до там въпросният мак изчезна, или са си изключили компютъра, или друго нещо е станало незнам, но от слетобед вече 4 часа го няма, сигурен съм че пак ще се появи затова следя нещата и се надявам на следващото ходене да го видя вече на кои порт по свичовете е на тези 3 блока. Много ви благодаря за помощта и спежялно изкам да отделя благодарности на колегата Велин от Златоград. Колега от преди ми имаш скайпа, като идваш посока София (ако имаш път) ми се обади, една спецялна бутилка е предназначена за теб. Да може въпроса да е елементарен, но аз съм по хардъера, не по софта и затова става така.

[gbdesign]

И по писането, не си...

[smacker]

МАС адрес 00:00:00:00:00:00 е служебен и означава "нямам МАС". Има не малка вероятност и да става дума за вирус. Преди години имаше такъв, който чупеше мрежовият стек на Буза ХР и правеше аналогични проблеми.

FFFFFFFFFFFFxf е броудкаст и незнам мак адрес 0xf да е служебен. Поне суитча не реагира на адрес 0xf по специален начин.

Вероятно говориш за Blast-а. Но той препълва TCP/IP стека на уиндоус с код който може да бъде изпълнен. Което от своя страна е НАЙ-КРАСИВИЯТ вирус някога правен след пингпонг-а и Edie/Edie2 (на DarkAvenger), който пък е Made in BG.

Да благодарим на създателите на Win32Blast, че просто искаха да покажат какъв боклук е уиндоус, а не да ни форматират дисковете.

Благодаря ви колеги за отделеното време днес инсталирах програмата която ми каза колегата Велин от Златоград на компютъра в офиса. И изкара наи после МАК адреса които прави проблема. Познах да разкачамм линии за по половин минута с лаптопа и локализирах от кои квартал идва проблема. Сведох нещата до 3 блока, и докато ида до там въпросният мак изчезна, или са си изключили компютъра, или друго нещо е станало незнам, но от слетобед вече 4 часа го няма, сигурен съм че пак ще се появи затова следя нещата и се надявам на следващото ходене да го видя вече на кои порт по свичовете е на тези 3 блока. Много ви благодаря за помощта и спежялно изкам да отделя благодарности на колегата Велин от Златоград. Колега от преди ми имаш скайпа, като идваш посока София (ако имаш път) ми се обади, една спецялна бутилка е предназначена за теб. Да може въпроса да е елементарен, но аз съм по хардъера, не по софта и затова става така.

Колега, до сега да бях изключил тоя 20 пъти. DHCP рутери в мрежата (тъй като работим по DHCP) ги изключвам за по-малко от 10 минути.

Като си по хардуера, вземи си техника която да ти върши работа a не да мърляш работите.

Свел си до 3 блока .... и докато идеш до там.... ?!?!? Ти сам ли движиш цялата мрежа?

Редактирано 5 Ноември, 2012 от smacker