Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Dziwne zachowanie sieci - 'zatrute tablice ARP'?

13 Sty 2011 08:43 1457 9
  • Poziom 9  
    Witam, od kilku dni zaobserwowałem dziwne zachowanie sieci, mianowicie;

    siec składa się z ok 80 stacji roboczych (win xp/ dwa modele dell w całej sieci), całość gwiazdowo rozmieszczona w budynku poprzez 6 switchow (cisco takie same modele) podpięte do jednego brzegowego za którym stoi router (linksys cisco)...

    problem: w części komputerów zanika internet i to randomowo... z tego co zaobserwowałem tablica ARP zmienia się sama wskazując raz interface WAN a raz interface LAN routera jako difoltowy gateway.. w komputerach połączenia z lanowskim AD działają, ping wysyłany na zewnątrz rozwiązuje nazwę/ip ale nie wychodzi ani po ip ani po nazwie domenowej.

    Po wpisaniu do tablicy ARP statycznie gatewaya na interface WAN sieć zaczyna działać 'na chwilę' i siada znowu..

    Dodam, że wymieniłem router na inny i jest dokładnie taka sama sytuacja.

    co może być tego przyczyną takiego stanu rzeczy? ktoś może ma jakieś pomysły?

    edit: dołączam to co się dzieje w sieci w postaci pliku .pcap (spakowane)

    edit1: adres mac interface WAN 00-22-6b-3a-5c-77 adres mac iface LAN taki sam z końcówką 76
  • Poziom 23  
    Zbyt niedokładnie opisane, aby dać konkretną odpowiedź. Komunikacja w sieci lokalnej jest oparta na adresach MAC. Zanotuj adres MAC bramy i na komputerach na których zdarza się problem z internetem sprawdź tablicę ARP, czy adres IP gatewaya odpowiada zapisanemu adresowi. Jeśli nie, to ktoś zatruwa tablice ARP. Sposobem poradzenia sobie z taką sytuacją jest zastosowanie przełączników inteligentnych, mających funkcje co najmniej arp protection i dhcp snooping.
  • Poziom 43  
    Może ktoś dla jaj włącza dodatkowy serwer DHCP na kompie i przez to zmienia ci się brama i sieć się destabilizuje.
  • Poziom 9  
    Jedyna zmiana jaka się pojawia to zmiana interejsu wyjścia na świat z LANowskiego na WANowski.. cała reszta z DHCP idzie OK.
  • Poziom 43  
    No ale drugi DHCP z inna brama wpisaną przecież możne takie zmiany wywołać u kompów, które dostaną od niego ustawienia (jak dobrze rozumiem to ta jedyna zmiana to wpis dotyczący bramy - GW i wskakuje jakiś IP z LAN-u na miejsce tego właściwego WAN-u), a sprawdzałeś czy na tym kompie, za które podstawia się IP (MAC) GW ktoś się nie bawi jakieś hakerstwo?.

    Czy zawsze to jest to samo IP, MAC czy losowo występuje.
  • Poziom 9  
    Jest tak : Router ma 2 interfacy WAN i LAN i maja "adres mac interface WAN 00-22-6b-3a-5c-77 adres mac iface LAN taki sam z końcówką 76" i tylko to się zamienia. Nie sądzę żeby zmieniał to inny DHCP. Tu niema osoby która by coś takiego umiała zrobić tym bardziej, że zmieniłem Router i sprawa jest identyczna (zmieniają się adresy WAN na LAN).
  • Poziom 43  
    A próbowałeś robić upgrade FW routera ?? Możne problem polega w jakimś bug-u.
    Czyli wynika z tego że sam router jakimś cudem zmienia ustawienia MAC z WAN na LAN i wysyła je kompom w DHCP czy same MAC i w routerze skakają zmieniając swoja końcówkę ??
  • Poziom 9  
    Soft jest najnowszy. Zrobiłem reinstalkę na końcówce z kłopotami.. po wgraniu obrazu wszystko wróciło do normy.. malware jakieś? AV nic nie wykrywa..
  • Poziom 43  
    OK zrozumiałem w końcu o co ci chodzi.
  • Poziom 9  
    ufff znalazłem rozwiązanie.. kolo się pomylił i wpiął kabel w switch tworząc loopa.
    dzięki za pomoc.