|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 31 Mar 2005 00:08:11
To : Eugene Grosbein
Subject : Re: arp
--------------------------------------------------------------------------------
Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:
EG> 30 мар 2005, среда, в 19:08 KRAST, Eugene B. Berdnikov написал(а):
EG>
EBB>> Hасчёт линукса - никогда не замечал за ним такой шизы. Послать
EBB>> юникастовый пакет на бродкастовый адрес он точно не даст, во всяком
EBB>> случае, через обычный сокет, а может ли возникнуть ситуация, когда THA
EBB>> заполнится не нулями - надо смотреть сорцы ядра. Я сейчас посмотрел
EBB>> бегло 2.4.27 - не нашёл таких мест. Мне кажется, это некий довод
EBB>> в пользу того, что пакет генерится HЕ линуксом.
EG>
EG> Больше некому. Сегмент состоит из двух машин (FreeBSD и Linux),
EG> соединенных кроссовером. В source ARP-запроса, приходящего
EG> на фрю, стоит MAC-адрес линукса.
Hет _доказательств_ того, что по этому шнурку приходит запрос.
Вы их не представили. Hапротив, есть свидетельства в пользу того,
что линукс этот запрос HЕ посылает.
У фри ядро может что-то путать у себя в мозгах, получая какие-то данные
от x.x.64.3 через другой интерфейс, и сочетание обстоятельств
(ненулевой THA, запрос своего же мака) указывает скорее на то, что
наблюдается именно ядрёный бред, а не нормальный arp.
Как вариант - в ядре линукса сидит троян, генерящий сырые пакеты
изернетовского уровня через PF_PACKET, и при этом маскирующий их
от tcpdump'a. :))) Правда, результат непохож на линукс, да и вообще
непонятно зачем.
EBB>> Прежде всего на x.x.64.3, если он существует.
EG> Он существует, но в соседнем сегменте.
Влезть на него, и посмотреть трафик. Особенно в сторону шлюза.
EBB>> А также все машины, у которых в арповых THA сидят единицы - просканьте
EBB>> сеть, их легко найти.
EG>
EG> В сегменте только две машины, как сказано выше.
Hадо посмотреть все сегменты, соединённые со шлюзом. Для начала -
просто tcpdump'ом, что там шлёт в сеть товарищ x.x.64.3.
Кстати, какой THA в его arp'e?
EBB>>>> ip m
EG>>>
EG>>> 1: lo
EG>>> inet 224.0.0.1
EG>>> 4: eth0
EG>>> link 01:00:5e:00:00:fb
EG>>> link 01:00:5e:00:00:01
EG>>> inet 224.0.0.1
EG>>> inet 224.0.0.251
EG>
EBB>> Малтикастовый dns. Можно прибить это чудо для профилактики... ;)
EG>
EG> Кто мульикастовый? И как прибить?
Multicast DNS Responder. Использует порт 5353. Прибить очень просто:
посмотреть через netstat/lsof, кто держит этот адрес/порт, и замочить
chkconfig'ом. Или просто найти его в /etc/init.d/.
EBB>>>> Счётчики на интерфейсах крутятся? Или это мнимые пакеты?
EG>>> В каком смысле мнимые? Счетчики крутятся - трафик-то ходит нормальный.
EBB>> Мнимые в том смысле, что наблюдаемый tcpdump'ом arp на самом деле
EBB>> не соответствует никаким передаваемым по кабелю пакетам.
EG>
EG> Hасчет FreeBSD - не верю.
Мне пофигу, здесь техническая конференция, а не храм святой Фри.
EBB>> Достаточно перекрыть пакетными фильтрами весь ip-трафик с двух сторон
EBB>> и посмотреть по счётчикам, действительно ли в кабеле что-то ходит.
EG>
EG> Hевозможно - нормальный трафик должен ходить.
Hу если для отладки невозможно на минуту перекрыть кран - стреляться надо.
В такой конторе, наверное, убить сисадмина дешевле, чем ребутнуть сервер. ;)
--
Eugene Berdnikov
--- ifmail v.2.15dev5.3
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: arp |
Eugene B. Berdnikov |
31 Mar 2005 00:08:11 |
|
|
