ИП Конфликт в мрежа с 500 клиента

[angelnet]

Zdraveite imam sledniq problem.

Na vsichki klienti po cqlata mi mreja im izliza Ip conflict.Imam realni i nerealni ip-ta i ot dvete mreji davam primer 94.156.205.... i nerealni 172.18.33.... natnatite ipta sa 170 zad mikrotik 2.9.6 s kompiutar sled snega hora ot vsichkite sela pochnaha da mi se obajdat che im izliza syobshtenieto Ip conflict molq vi daite syvet che sam se vidql v chudo blagodarq!

[angelnet]

Примерно ти би ли плащал на монтьор да ти смени полуоска, а той да тръгне да разпитва по форумите как става?

а 500 ако му плащат те какви са?

От 10 години се занимавам с Интернет никога не ми се е случвало такова нещо и затова питам

[Tsunami]

Помисли какво е правено последно преди да се яви проблема.

Насочи вниманието си към всяка промяна преди да стане това (нови клиенти, сменени устройства и т.н.).

Явно е че нещата са работили дълго време.

Какъв е управляемия суич?

[Mile]

sh logging

на свича. или аналога му (ако въобще има аналог)

sh mac address table interface xxx или vlan или каквото там се ползва

ето и повод да ги сегментираш селата. ако го беше направил щеше да са засегнати в пъти по-малко хора

Редактирано 30 Януари, 2012 от Mile

[gbdesign]

Според мен, някой клиент здраво си сменя IP адреса, карайки наред с надежата да получи нет, без да си е платил сметката. Свали си МАС протекшъна за да не прави мазало. Така ще има само 1 потърпевш а ти ще имаш време на спокойствие да го откриеш и да му насолиш канчето.

[smacker]

Ей, ама верно се цепите с глупости, вместо да помогнете на човека.

Вярно е, че да не си сегментираш мрежата на ВЛАН-и е голям пропуск. Но пък човека няма толкова клиенти че да ги сегментира. Но пък има достатъчно клонове които да предполагат различни ВЛАН-и.

Това е ситуация която може да се случи НА ВСЕКИ който не ползва PPOE. Така, че молете се да не Ви се случва, че ще пищите здраво.

Случвало ми се е няколко пъти. Първият път беше от рутер-сапунерка. Добре че беше на комшията над контролният център и го хванах бързо.

Възможността да е от обикновен суитч е много малка, тъй като суитча работи на Layer 2 и няма представа от ИП адреси.

Възможността да е от вирус на клиентски компютър е значително голяма. Много е вероятно клиента дори да не подозира, Това се лови по МАК адреса на компютъра.

За да ти даде ИП конфликт уиндоуса (както и много други ОС) праща WHO HAS arp заявка по мрежата за ИП-то което е конфигурирано. Соурс МАК адреса е нула или МАК адреса на мрежовата карта. Това се води въпросното Gratut....незнам си какво ARP.

Ако има друго устройство с този ИП адрес, то би отговорило на заявката с МАК адреса си.

Така ОС разбира, че в мрежата има ДРУГО устройство със същият ИП адрес. Уиндоус слага в системният ЛОГ тази информация за ИП конфликта като включва МАК адреса на устройството което е отговорило на въпросната заявка, след което извежда грешка за конфликт на ИП адреса. След което, Уиндоус не конфигурира ИП адреса.

В този случай, тъй като WHO HAS е броудкаст пакет, всяко едно устройство в мрежата го получава и съответно го обработва. Вируса няма проблем да отговаря на тези заявки с цел да "флуди" мрежата.

Проблема е, че има програмки които могат това да го правят нарочно с цел да гепят ИП/МАК адреси и/или с цел да ебават мрежата. Ама това засега не съм видял/чул някой да го е пускал в мрежа.

Та както колега казва по-горе, след като арпингне ИП адреса и не отговаря никой, вероятно е някой рутер който се е побъркал и отговаря на въпросните WHO HAS заявки, но въпреки това не си сменя ИП адреса. Или просто вирус.

Затова, при обстойно преглеждане на ARP трафика в мрежата, много лесно ще си проличи МАК адреса на устройството което МНОГО често отговаря на WHO HAS заявките, при това за различни ИП адреси.

След като има въпросният МАК - всеки занимавал се със управляеми суитчове знае какво се прави.

[dimo_tenev]

И на мене ми се случи преди няколко години и се оказа заразен абонат.. но мисля че е възможно и устройство да е било то рутер или суич..

[angelnet]

Съмнявам се,че може да е един гаден NETGEAR WI-FI G рутер на едни роми програмисти.Рутера им отговаря на ARPING,но не и на обикновен пинг.В микротика ми няма ARPING и си свалих един инструмент ARPING от data.bg,от там ми отговаря.

[master]

Имам няколко нетгеара който не си отговарят на WAN порта на пинг. По спомен дори имаше опция да се спира това от настройките.

[smacker]

Всяка сапунерка от 30 лева има тази опция да не отговаря на пинг.

Всяка сапунерка от 30 лева до 150 лева ползва някакъв гаден фърмуер. Дори и линукс базиран.

Всяка сапунерка е направена да е ефтина и съответно чиповете и са "изпържени" толкова много, а охладителите на чиповете са надценени толкова много и особено на wireless-ите че на кратък период от време прегряват.

Калпаво написаният китайски фърмуеър е толкова гаден, че като види повече от 10 мак адреса на WAN (ако изобщо има такъв) порта почва да се чуди какво става тук.

Да не говорим, какво се получава ако види мултикаст пакет.

Сега си представете, като се опита някой да се закачи на Вашият рутер, през 2 блока в съседство със сигнал който може да провежда 2-3 мегабита.

На кратко, очаквайте всичко от рутер който струва малко пари. За рутер мога да разкзвам много... наистина много.

И все пак, най-доброто решение за клиента е, според мен, е ТП-Линк за 30-35 лева. Поне знаеш, че не си се преебал.

Редактирано 30 Януари, 2012 от smacker

[danielskiii]

МАК адреса на човека който прави проблем е открит

[Networker]

Съмнявам се,че може да е един гаден NETGEAR WI-FI G рутер на едни роми програмисти.Рутера им отговаря на ARPING,но не и на обикновен пинг.В микротика ми няма ARPING и си свалих един инструмент ARPING от data.bg,от там ми отговаря.

По default не се пингват повечето рутери - включена е забрана за пинг от WAN порта. Докато ARPING отговора не се филтрира от firewall.

Smacker е дал доста добро обяснение на проблема в първия си пост. Само че и "тъпите" комутатори могат да генерират този проблем. При нас сме имали 2 пъти такива проблеми със прост 8 порт комутатор Repotec (викаме им killer switch ), който си kill-ва сегмента и всички users в този сегмент получават същото съобщение. Може да се прави и умишлено със софтуер, ако си с линукс има програми, които следят подобни действия в мрежата и бързо може да намериш мака на извършителя или частично да се защитиш от подобни проблеми.

Моя съвет е за сегментиране на мрежата.

Редактирано 30 Януари, 2012 от Networker

[Networker]

МАК адреса на човека който прави проблем е открит

Дайте адреса му на потърпевшите потребители, те ще се разберат с него )

[gbdesign]

МАК адреса на човека който прави проблем е открит

Сега остава да уточниш, дали е на Лан карта и ли на Рутер... щото ако е първото, моята версия си остава правдоподобна. За в бъдеще намери някъде да си качиш един arpwatch, да следи какво се случва с МАС адресите в мрежата. Версията с вирусите ми се вижда възможна но много малко вероятна. Такива вируси не съм виждал от години, пък и вероятноста в Горно нанадолнище да ги има а в големият град не, е малко вероятна. А за отживелици от рода на PPPoE се направи че не си прочел. Няма нито един голям доставчик, който да ползва този архаизъм...

[angelnet]

Намерихме проблема и е отстранен..... на човека му дават флашка да си инсталира "много хубава" програма (с някаква като ябълка икона) обърнала му на човека всичко в компютъра и нета му спрял...нямало как са обади по тъпи причини.Вързан е с радио,то е спряно.

Благодаря много на всички за съдействието!

[111111]

За следващия път чети що е то

/tool mac-scan [interface]

какво е proxy-arp и как се работи с него