Andrey Zentavr 0 Опубликовано: 2006-11-28 22:50:03 Share Опубликовано: 2006-11-28 22:50:03 (відредаговано) жалуется юзерь что подтормаживает у него сеть. Залез на роутер, а там вот такой странный выхлоп: Nov 29 00:00:00 nas13 newsyslog[84784]: logfile turned over due to size>100K Nov 29 00:00:05 nas13 kernel: arplookup 0.0.0.0 failed: host is not on local network Nov 29 00:00:18 nas13 kernel: arplookup 0.0.0.0 failed: host is not on local network Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.109 moved from 00:11:5b:a1:7b:8c to 00:7d:cc:7c:44:52 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.44 moved from 00:15:f2:40:d1:1e to 00:89:e6:24:58:1e on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.231 moved from 00:15:f2:17:70:f3 to 00:e6:93:93:6d:7b on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.201 moved from 00:c0:df:05:d1:48 to 00:1e:a3:7a:b7:e7 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.14 moved from 00:02:44:8f:eb:c4 to 00:b7:a1:d3:98:aa on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.89 moved from 00:0e:2e:8c:71:d9 to 00:0c:fa:6a:dd:ef on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.158 moved from 00:13:8f:47:e7:83 to 00:4d:20:50:f3:e6 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.242 moved from 00:01:6c:be:13:68 to 00:68:1f:02:f3:42 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.148 moved from 00:0c:6e:74:03:2e to 00:88:47:75:5b:44 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.128 moved from 00:02:44:af:07:0a to 00:2d:e4:47:f9:00 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.215 moved from 00:0e:2e:72:9a:5b to 00:0d:7a:d7:88:0d on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.3 moved from 00:11:5b:fa:f0:56 to 00:bc:cd:3e:b3:e6 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.40 moved from 00:30:4f:25:88:67 to 00:b9:00:95:8e:a9 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.36 moved from 00:50:fc:e5:d8:80 to 00:b6:23:14:c8:89 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.159 moved from 00:30:4f:14:33:58 to 00:ee:32:4d:3d:d9 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.7 moved from 00:01:6c:ec:79:9d to 00:e0:69:82:07:3e on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.35 moved from 00:04:61:51:5c:c4 to 00:4e:4e:97:94:02 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.33 moved from 00:50:22:9a:d0:9c to 00:c4:df:cb:fc:80 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.8 moved from 00:30:4f:15:be:d5 to 00:8d:8b:00:c3:c7 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.90 moved from 00:0f:3d:cc:4e:00 to 00:26:23:6c:c5:53 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.234 moved from 00:15:f2:41:0a:1d to 00:eb:7e:12:a2:79 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.48 moved from 00:0d:87:53:b2:e5 to 00:26:dd:6f:06:0e on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.30 moved from 00:c0:26:2b:e7:13 to 00:97:ae:62:91:93 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.50 moved from 00:04:4b:80:80:03 to 00:5e:83:57:81:c1 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.81 moved from 00:02:44:87:81:9a to 00:1a:f1:f7:72:c8 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.165 moved from 00:00:e2:9e:f0:10 to 00:2f:60:21:10:1e on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.22 moved from 00:30:4f:12:d1:84 to 00:03:3a:ff:df:66 on em2 Nov 29 00:00:18 nas13 kernel: arp: 10.1.30.162 moved from 00:11:95:d0:d8:7b to 00:14:c5:24:22:8c on em2 Nov 29 00:00:20 nas13 kernel: arp: 10.1.30.48 moved from 00:26:dd:6f:06:0e to 00:0d:87:53:b2:e5 on em2 Nov 29 00:00:20 nas13 kernel: arp: 10.1.30.48 moved from 00:0d:87:53:b2:e5 to 00:26:dd:6f:06:0e on em2 Nov 29 00:00:20 nas13 kernel: arp: 10.1.30.48 moved from 00:26:dd:6f:06:0e to 00:0d:87:53:b2:e5 on em2 Nov 29 00:00:20 nas13 kernel: arp: 10.1.30.167 moved from 00:17:31:83:fe:b3 to 00:0d:28:24:74:26 on em2 Nov 29 00:00:20 nas13 kernel: arp: 10.1.30.48 moved from 00:0d:87:53:b2:e5 to 00:26:dd:6f:06:0e on em2 Nov 29 00:00:24 nas13 kernel: arp: 10.1.30.48 moved from 00:26:dd:6f:06:0e to 00:0d:87:53:b2:e5 on em2 Nov 29 00:00:24 nas13 kernel: arp: 10.1.30.48 moved from 00:0d:87:53:b2:e5 to 00:26:dd:6f:06:0e on em2 Nov 29 00:00:24 nas13 kernel: arp: 10.1.30.48 moved from 00:26:dd:6f:06:0e to 00:0d:87:53:b2:e5 on em2 Nov 29 00:00:24 nas13 kernel: arp: 10.1.30.48 moved from 00:26:dd:6f:06:0e to 00:0d:87:53:b2:e5 on em2 Nov 29 00:00:24 nas13 kernel: arp: 10.1.30.48 moved from 00:0d:87:53:b2:e5 to 00:26:dd:6f:06:0e on em2 Nov 29 00:00:36 nas13 kernel: arp: 10.1.30.90 moved from 00:26:23:6c:c5:53 to 00:0f:3d:cc:4e:00 on em2 Nov 29 00:00:36 nas13 kernel: arp: 10.1.30.90 moved from 00:0f:3d:cc:4e:00 to 00:26:23:6c:c5:53 on em2 Nov 29 00:00:41 nas13 kernel: arp: 10.1.30.203 moved from 00:df:39:ca:ae:ee to 00:0a:48:10:5a:dd on em2 Nov 29 00:00:41 nas13 kernel: arp: 10.1.30.203 moved from 00:0a:48:10:5a:dd to 00:df:39:ca:ae:ee on em2 Nov 29 00:00:42 nas13 kernel: arp: 10.1.30.203 moved from 00:df:39:ca:ae:ee to 00:0a:48:10:5a:dd on em2 Nov 29 00:00:42 nas13 kernel: arp: 10.1.30.203 moved from 00:0a:48:10:5a:dd to 00:df:39:ca:ae:ee on em2 Nov 29 00:00:46 nas13 kernel: arp: 10.1.30.7 moved from 00:e0:69:82:07:3e to 00:01:6c:ec:79:9d on em2 Nov 29 00:00:46 nas13 kernel: arp: 10.1.30.7 moved from 00:01:6c:ec:79:9d to 00:e0:69:82:07:3e on em2 Nov 29 00:00:50 nas13 kernel: arp: 10.1.30.203 moved from 00:df:39:ca:ae:ee to 00:0a:48:10:5a:dd on em2 Nov 29 00:00:50 nas13 kernel: arp: 10.1.30.203 moved from 00:0a:48:10:5a:dd to 00:df:39:ca:ae:ee on em2 Nov 29 00:00:54 nas13 kernel: arp: 10.1.30.90 moved from 00:26:23:6c:c5:53 to 00:0f:3d:cc:4e:00 on em2 Nov 29 00:00:54 nas13 kernel: arp: 10.1.30.90 moved from 00:0f:3d:cc:4e:00 to 00:26:23:6c:c5:53 on em2 Nov 29 00:00:58 nas13 kernel: arplookup 0.0.0.0 failed: host is not on local network Nov 29 00:01:07 nas13 kernel: arp: 10.1.30.81 moved from 00:1a:f1:f7:72:c8 to 00:02:44:87:81:9a on em2 Nov 29 00:01:07 nas13 kernel: arp: 10.1.30.81 moved from 00:02:44:87:81:9a to 00:1a:f1:f7:72:c8 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.159 moved from 00:ee:32:4d:3d:d9 to 00:30:4f:14:33:58 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.30 moved from 00:97:ae:62:91:93 to 00:c0:26:2b:e7:13 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.14 moved from 00:b7:a1:d3:98:aa to 00:02:44:8f:eb:c4 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.158 moved from 00:4d:20:50:f3:e6 to 00:13:8f:47:e7:83 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.109 moved from 00:7d:cc:7c:44:52 to 00:11:5b:a1:7b:8c on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.44 moved from 00:89:e6:24:58:1e to 00:15:f2:40:d1:1e on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.203 moved from 00:df:39:ca:ae:ee to 00:0a:48:10:5a:dd on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.90 moved from 00:26:23:6c:c5:53 to 00:0f:3d:cc:4e:00 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.234 moved from 00:eb:7e:12:a2:79 to 00:15:f2:41:0a:1d on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.89 moved from 00:0c:fa:6a:dd:ef to 00:0e:2e:8c:71:d9 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.201 moved from 00:1e:a3:7a:b7:e7 to 00:c0:df:05:d1:48 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.8 moved from 00:8d:8b:00:c3:c7 to 00:30:4f:15:be:d5 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.40 moved from 00:b9:00:95:8e:a9 to 00:30:4f:25:88:67 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.7 moved from 00:e0:69:82:07:3e to 00:01:6c:ec:79:9d on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.215 moved from 00:0d:7a:d7:88:0d to 00:0e:2e:72:9a:5b on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.231 moved from 00:e6:93:93:6d:7b to 00:15:f2:17:70:f3 on em2 Nov 29 00:00:24 nas13 kernel: arp: 10.1.30.48 moved from 00:26:dd:6f:06:0e to 00:0d:87:53:b2:e5 on em2 Nov 29 00:00:24 nas13 kernel: arp: 10.1.30.48 moved from 00:0d:87:53:b2:e5 to 00:26:dd:6f:06:0e on em2 Nov 29 00:00:36 nas13 kernel: arp: 10.1.30.90 moved from 00:26:23:6c:c5:53 to 00:0f:3d:cc:4e:00 on em2 Nov 29 00:00:36 nas13 kernel: arp: 10.1.30.90 moved from 00:0f:3d:cc:4e:00 to 00:26:23:6c:c5:53 on em2 Nov 29 00:00:41 nas13 kernel: arp: 10.1.30.203 moved from 00:df:39:ca:ae:ee to 00:0a:48:10:5a:dd on em2 Nov 29 00:00:41 nas13 kernel: arp: 10.1.30.203 moved from 00:0a:48:10:5a:dd to 00:df:39:ca:ae:ee on em2 Nov 29 00:00:42 nas13 kernel: arp: 10.1.30.203 moved from 00:df:39:ca:ae:ee to 00:0a:48:10:5a:dd on em2 Nov 29 00:00:42 nas13 kernel: arp: 10.1.30.203 moved from 00:0a:48:10:5a:dd to 00:df:39:ca:ae:ee on em2 Nov 29 00:00:46 nas13 kernel: arp: 10.1.30.7 moved from 00:e0:69:82:07:3e to 00:01:6c:ec:79:9d on em2 Nov 29 00:00:46 nas13 kernel: arp: 10.1.30.7 moved from 00:01:6c:ec:79:9d to 00:e0:69:82:07:3e on em2 Nov 29 00:00:50 nas13 kernel: arp: 10.1.30.203 moved from 00:df:39:ca:ae:ee to 00:0a:48:10:5a:dd on em2 Nov 29 00:00:50 nas13 kernel: arp: 10.1.30.203 moved from 00:0a:48:10:5a:dd to 00:df:39:ca:ae:ee on em2 Nov 29 00:00:54 nas13 kernel: arp: 10.1.30.90 moved from 00:26:23:6c:c5:53 to 00:0f:3d:cc:4e:00 on em2 Nov 29 00:00:54 nas13 kernel: arp: 10.1.30.90 moved from 00:0f:3d:cc:4e:00 to 00:26:23:6c:c5:53 on em2 Nov 29 00:00:58 nas13 kernel: arplookup 0.0.0.0 failed: host is not on local network Nov 29 00:01:07 nas13 kernel: arp: 10.1.30.81 moved from 00:1a:f1:f7:72:c8 to 00:02:44:87:81:9a on em2 Nov 29 00:01:07 nas13 kernel: arp: 10.1.30.81 moved from 00:02:44:87:81:9a to 00:1a:f1:f7:72:c8 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.159 moved from 00:ee:32:4d:3d:d9 to 00:30:4f:14:33:58 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.30 moved from 00:97:ae:62:91:93 to 00:c0:26:2b:e7:13 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.14 moved from 00:b7:a1:d3:98:aa to 00:02:44:8f:eb:c4 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.158 moved from 00:4d:20:50:f3:e6 to 00:13:8f:47:e7:83 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.109 moved from 00:7d:cc:7c:44:52 to 00:11:5b:a1:7b:8c on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.44 moved from 00:89:e6:24:58:1e to 00:15:f2:40:d1:1e on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.203 moved from 00:df:39:ca:ae:ee to 00:0a:48:10:5a:dd on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.90 moved from 00:26:23:6c:c5:53 to 00:0f:3d:cc:4e:00 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.234 moved from 00:eb:7e:12:a2:79 to 00:15:f2:41:0a:1d on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.89 moved from 00:0c:fa:6a:dd:ef to 00:0e:2e:8c:71:d9 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.201 moved from 00:1e:a3:7a:b7:e7 to 00:c0:df:05:d1:48 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.8 moved from 00:8d:8b:00:c3:c7 to 00:30:4f:15:be:d5 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.40 moved from 00:b9:00:95:8e:a9 to 00:30:4f:25:88:67 on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.7 moved from 00:e0:69:82:07:3e to 00:01:6c:ec:79:9d on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.215 moved from 00:0d:7a:d7:88:0d to 00:0e:2e:72:9a:5b on em2 Nov 29 00:01:10 nas13 kernel: arp: 10.1.30.231 moved from 00:e6:93:93:6d:7b to 00:15:f2:17:70:f3 on em2 ..... и т.д. ну не может быть чтобы вся локалка вдруг внезапно начала маки тусовать... Похоже на то, что кто-то АРПами хламит сетку. Как можно попробовать определить кто? И вообще - что это напоминает? Відредаговано 2006-11-28 22:50:39 Andrey Zentavr Ссылка на сообщение Поделиться на других сайтах
l2sv 0 Опубліковано: 2006-11-29 04:17:23 Share Опубліковано: 2006-11-29 04:17:23 Поздравляю, ты столкнулся с самым ужасным (после грозы) явлением в сети: арп-спуффингом. В неуправляемой (в плане свичей) противостоять этому можно только физически, т.е рубануть кабель/отключить сегмент и т.д. Вычислить по маку - не вычислишь, ВСЕ маки вымышленные. Суть явления: хакер (обычно не хакер, а просто малолетний дебил) запускает прогу, которая всем в сети навязывает свою маршрутизацию через себя. Т.е ВЕСЬ трафик идет через этого недоумка. Вообще, снифер может не весь трафик так заворачивать, но недоумок тем и недоумок, что если ставить галки, то везде. После чего его тачка не справляется с потоком и он ее перегружает, в итоге сеть временно вообще перестает функциклировать. Вся ботва заключается в обманывани компов и подсовывании левых мак-адресов, которые указывают на комп хакера. При этом идут постоянный конфликты ибо обычные компы анонсируют свои маки. Короче, сеть колбасит не подецки Ну и чтобы не такое пасмурное настроение было, скажу, что вычислить можно логически. Меняются все маки КРОМЕ мака того кто спуфит. Т.е зная кто сейчас в сети можно методом исключения вычислить. Но если хакер будет спуфить избранно... то тогда только мобильный телефон и го бегать по крышам отключать сегменты. Название снифера не буду говорить. Нехрен рекламу делать. Уже один идиот на ннм ссылку дал.... Ссылка на сообщение Поделиться на других сайтах
kompnm 0 Опубліковано: 2006-12-07 16:32:52 Share Опубліковано: 2006-12-07 16:32:52 Похожая ситуация и у меня - но чюток по другому!!! Уже замучался!!! С BSD не так давно знаком как хотелось бы - пока всё ишло без проблем но гдето 3-4 дня наза начали отключаться сетевухи на короткое время - в логах пишет kernel log messages: arplookup 192.168.100.250 failed: host is not on local network попытался разобраться сам! понял в чём проблема - но к сожелению решить её пока не могу может ктото подскажет? в сервере - который выступает как маршрутизатор 3 сетевых, сервер под FREE BSD 6.0 1.Провайдерская 192.168.50.20 2.Внутренняя - 192.168.20.200 3.Подключена ещё одна сеть 192.168.100.200 основной сервер 192.168.100.250 при отключении внешней сетки (та которая к провайдеру) всё работает ОК - сообщений нет при включении её начинается всё как описано высше!!! Поиски по Инету особо пока ничего не дали - нашёл пачи под более старые версии free bsd!!! Думал что проблема с 192.168.100.200 - а именно что такой адрес есть в провайдерской сети, как это было не тяжело поменял адресс на 192.168.100.201 - в логах начались непрекрощаемые arplookup 192.168.100.251 failed: host is not on local network Просниферил провайдерскую сеть 192.168.100.250 251 нет вообще - какаято заморочка в самой системе!!! Причём всё началось совершенно внезапно - т.е. в один прекрастный день .....!!! Если кто сталкивался - несочтите за труд помочь в этом вопросе!!! Ссылка на сообщение Поделиться на других сайтах
l2sv 0 Опубліковано: 2006-12-07 20:14:53 Share Опубліковано: 2006-12-07 20:14:53 Мой совет: расматривай фразу об ошибке не как сообщение "произошла ошибка" а как сообщение о причине ошибки. Достаточно просто перевести что написано. А написано, что поиск компа 192.168.100.250 по арп не удался, значит хост не в сети. Чего система вообще ищет этот хост - так у тебя он шлюзом указан - это предполагаю по двум моментам: - основной сервер это вероятно имелся ввиду шлюз в твоем понимании - при выдергивании кабеля, системой "убивается" шлюз в маршрутах, поэтому прекращась отправка пакетов на него вообще написал ты максимально непонятно: то "основной сервер 192.168.100.250", то "Просниферил провайдерскую сеть 192.168.100.250 251 нет вообще" Ссылка на сообщение Поделиться на других сайтах
kompnm 0 Опубліковано: 2006-12-07 21:19:45 Share Опубліковано: 2006-12-07 21:19:45 вообще написал ты максимально непонятно: то "основной сервер 192.168.100.250", то "Просниферил провайдерскую сеть 192.168.100.250 251 нет вообще" Я думал что в провайдерской сети есть машины с такими адресами, гдето читал что могут возникать ошибки по этой причине!!! при отключении внешней сетки (та которая к провайдеру) всё работает ОК - сообщений нет если я отключаю внешнюю сеть всё стаёт ок!!! -т.е. сервер пингуеться на протяжении 5-6 часов без одного обрыва!!! Вот похожая тема, и таких тем по инету много только непойму как решить эту проблему - может просто туплю! http://unix.derkeiler.com/Mailing-Lists/Fr...04-01/0099.html какаято замороч с масками сети но у меня на всех 3х 255.255.255.0 Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2006-12-08 07:52:02 Share Опубліковано: 2006-12-08 07:52:02 1. Скинь сюда выхлоп программы ifconfig 2. Скинь сюда выхлоп программы netstat -rn 3. Скинь сюда выхлоп программы arp -na Ссылка на сообщение Поделиться на других сайтах
kompnm 0 Опубліковано: 2006-12-09 22:26:10 Share Опубліковано: 2006-12-09 22:26:10 Всё спасибо - разобрался!!! Большое спасибо l2sv за совет!!! Немог долго вычислить из за чего проблема - из за ошибочных совпадений моих тестов!!! Всё оказалось бонально - подвисал свич на короткое время - 10-15 сек - исправил ситуацию заменой!!! Второй день всё ок!!! Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас