Jump to content
  • 0

Засичане на дублирано ип в локална мрежа


sitnetworks

Въпрос

Здравейте, моля ви за една елементарна помощ, но спешна че става голямо мазало. Имаме в един квартал компютър със имсталирам микротик. На машината е сложено ип 192.168.100.1 и раздава по статични ИП-та маскирани. Получи се следният проблем, някои е сложил същото ИП на компютъра си, и спира нета на всички след машината. Как мога да засека кои е и от къде идва, след като си е забранил пинга. Постоянно излиза и конфликт 192.168.100.1. Има ли някаква програма или как да му видя мака и кои е?

Вчера спрях сървъра за 10 минути точно когато го даде този проблем, и търсих машина с подобн ип, но нищо, и в арп-а на микротиците не се вижда машина със ип 192.168.100.1, как мога да го засека? Моля помогнете. Лошото е, че става отвреме на време, и то точно със ип-то на изходната карта на рутера.

Редактирано от sitnetworks
Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0

Доста съм сигурен че проблема ти не е такъв, какъвто си мислиш но ще коментирам според твоите убеждения. Не знам какви суичове ползваш, но примерно ако е възможна настройка за MAC age timе е разумно да се ползва и то със стойност от порядъка на 5 мин. Ако имаш умни суичове, може да зададеш статични ARP записи за рутера ти в тях. Ако суичовете ти поддържат порт базира V-lans просто го ползвай. Така клиентите ти виждат само рутера и не могат да си крадат МАС адреси един от друг. И на последно място. icmp ping е инструмент, за проверка на маршрути а не на пирати или "хакерчета". От Arping в локална мрежа, не можеш да скриеш нищо! Когато се случи дублирането на адресите, сетни си на маскираната мрежа друг IP адрес /без значение какъв/ и тогава с arping ще научиш какъв е МАС адреса на "хакера"... и ако имаш късмет да не си го е сменил, ще разбереш кой клиент е.

P.S.

Доста съм сигурен че проблема ти е от повреден суич по трасето, който прави грешна МАС таблица и дублира МАС адреса на рутера ти. Заради което клиентите губят връзка с него. Възможно е и някой умник да е объркал Gw и IP адрес, ако си е въвеждал ръчно настройки, което пък се случва заради пренебрежителното отношение на някои колеги към DHCP.

Редактирано от gbdesign
Адрес на коментара
Сподели в други сайтове

  • 0

Дам просто някъде на 100% ти се за луупва мрежата, за това едно добро сегментиране на мрежата върши страхотна работа :)

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Още един глас за омазан суич

много лесно се работи с РРРоЕ

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Колеги, благодаря ви за ързите отговори. Според мен ибаче е клиент, защото в офиса ми съвсем случайно забелязах нода да пуска съобщения, засечен е еднакъв ИП адрес в мрежата 192.168.100.1. Появява се от време на време, явно когато абоната си пъсне компютъра. Имало е случай по 5 дена нищо и изведнъж се появява. Дайте идея за някаква програмка или нещо да го засеча от кои мак става дублирането, и от там да го пингвам по мак с микротика и да разбера къде е, че има фиравалл и немога да пингвам.

п.п. А PPPOE немога да ползвам, че има и много абонати на безцичен достъп и знаете, че там PPPOE протокола се разкача, много по чувствителен е. Ами това някъде в кеша на нода дали няма някакви мак адреси ако ида утре до офиса, понеже е засекла ип конфликта, дали не е записала нещо в лога? Просто ми трябва някаква програма или друго нещо да засече маковете на конфликтващите са ИП-та, или в кмикротика да настроя нещо?

Редактирано от sitnetworks
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

В микротика може да зададеш статична арп таблица и да дадеш на интерфейса arp-reply режим

относно РРРоЕ през WiFi проблема си е в твоето WiFi на много места се ползва без проблем

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

вади кабелите наред.. и по "ламповата ситема".

аз ако бях клиент щях да ви го правя много по-често. в крайна сметка и това помага да поразвиете мрежата.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

http://ipacct.com/bg...4win/

arping за windows върши работа и тръгваш по суичовете с един лаптоп :) , според мен може да е и рутер на клиент ако имаш повече от една мрежа може някой клиент да си е сетнал зад рутера твоя ип адрес :)

Не отговарям на постове написани с шльокавица!

Адрес на коментара
Сподели в други сайтове

  • 0

Дайте идея за някаква програмка или нещо да го засеча от кои мак става дублирането, и от там да го пингвам по мак с микротика и да разбера къде е, че има фиравалл и немога да пингвам.

Стига с това "не мога да пингвам" arping firewall не го лови. А "програма" /по-скоро демон или услуга/, която следи за променени IP-MAC двойки и въобще за всякакви нови включвания в мрежата е arpwatch.

Адрес на коментара
Сподели в други сайтове

  • 0

За засичане на нарушителя програмката ти я казаха - arpwatch - сложи си едно PC с linux в мрежата, то ще ги следи и после си ги чети логовете, но зор ще го хванеш ако е калпав рутер или недоброжелател. От същото PC може да въртиш arping-ове, докато техниците спират мрежови сегменти.

Аз предполагам също, че е прецакан комутатор или клиентски рутер.

За да няма ядове - сегментация или PPPoE (да пробват да си сложат IP на PPPoE GW :D).

Няма проблем да се ползва PPPoE през wireless линкове, стабилно е колкото стабилни са wireless-ите.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Когато е само ethernet мак адресите се виждат винаги иначе няма как да комуникират с гейта. Няма значение дали хоста е с някакъв файърлол или не.

[admin@shipka] > ip arp print

Flags: X - disabled, I - invalid, H - DHCP, D - dynamic

# ADDRESS MAC-ADDRESS INTERFACE

0 D 192.168.121.250 00:0A:E6:90:C3:21 bridge1

1 D 192.168.122.156 00:0D:56:A6:18:04 bridge1

2 D 192.168.122.8 00:06:5B:11:1F:CC bridge1

3 D 192.168.122.224 FE:B4:8C:C5:F1:67 bridge1

4 D 192.168.122.215 00:19:DB:8C:DC:C0 bridge1

5 D 10.129.3.1 00:50:C2:52:D2:DD ether1-wan

6 D 192.168.122.157 00:11:11:3D:B0:D6 bridge1

7 D 192.168.122.223 02:C1:5A:6B:90:D6 bridge1

8 D 192.168.122.210 00:16:E6:30:3E:05 bridge1

9 D 192.168.122.229 FE:93:4A:48:90:62 bridge1

10 D 192.168.122.240 A0:00:00:05:6A:22 bridge1

11 D 192.168.122.6 00:06:5B:66:4C:6F bridge1

12 D 192.168.122.226 FE:0D:4D:C7:C2:7C bridge1

13 D 192.168.122.227 FE:18:3A:79:66:7B bridge1
Дали това ще го листнеш в микротика или с някаква програма е все вдно и също. Друг е въпроса, че само XP лови един отвратителен вирус който сменя мак адреса (не ип адреса) като на гейта и става страшен лаг в мрежата. Това е само с XP SP2 надолу версия - тоест в XP SP3 го няма. Възможно е затова да гърми антивируса. В чиста ethernet среда задължително:
/ip firewall filter

add chain=forward action=drop src-address=192.168.100.1 src-mac-address=!00:80:AF:77:8D:04 disabled=no

Това в никакъв случай няма да ти реши проблема но е начин в който в някаква степен ще си по спокоен някой да не си е сменил ип адреса защото ако не отговаря мак-а той няма да има нет.

Между другото когато луупне суич се получава подобна история като твоята но това го казаха доста хора над мен.

С моя скромен опит съм разбрал, че до определено количество ип адреси през един суич да кажем 100 или през 5 суича до 50 ип адреса започват проблемите. Ако са през един суич като станат 100 ип адреса или има някой заразен мак флудеер или пък друг е взел чужд адрес за да има нет. Когато пък станат повече суичове като забие някой не знаеш към кой да хванеш защото е ясно, че те не са на едно и също място както и кой адреси идват от там. Аз винаги предлагам 2 решения.

1. Някой вече беше казал VLAN. Найстина това е най доброто. !

2. Ако предположим, че суичовете ти не поддържат VLAN нарежи ги на мрежи или дори на маски. Не, не е глупава идеята ! Просто от суич А ще идват 192.168.100.0/24 а от Б 192.168.101.0/24 Ethernet пак ще съществува и ако има два мак-а пак ще стане лаг но пък в този случай поне ше има логичен источник (суич) на проблема.

Притеснва ме факта, че се появява от време на време .... ако е суич както си мислят всички как ще го хванеш незнам ...

Адрес на коментара
Сподели в други сайтове

  • 0

Ако беше дал малко по подробна схема на мрежата можеше по - лесно да стане ясно какво е? Ако е суич най-лесното е да ги сменяш наред и то от някъде ще излезе.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0

Ако беше дал малко по подробна схема на мрежата можеше по - лесно да стане ясно какво е? Ако е суич най-лесното е да ги сменяш наред и то от някъде ще излезе.

Прилагам енда малка аст от цялата мрежа - тя не е базирана изцало така но това е част от нея.

п.п. Да ви попитам тази програмка може ли да се пусне на Windows, или е само във вариянт за линукс среда (питам понеже имам много пуснати Windows машини видеосървари и други неща в мрежата и ще ми е много лесно да я пусна там накъде - да не инсталирам нова машина).

post-57-0-98318900-1352024484_thumb.jpg

Адрес на коментара
Сподели в други сайтове

  • 0

Предлагам ви да си намерите човек да ви реорганизира мрежата. Ще спечелите време да си поддържате нещата, от които разбирате.

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

  • 0

Предлагам ви да си намерите човек да ви реорганизира мрежата. Ще спечелите време да си поддържате нещата, от които разбирате.

Колега това го знам, ако исках да търся друг да съм го направил. За това питам тук за помощ. Ако исках накои друг да пипа нямаше да пиша във форума.

http://ipacct.com/bg...4win/

arping за windows върши работа и тръгваш по суичовете с един лаптоп :) , според мен може да е и рутер на клиент ако имаш повече от една мрежа може някой клиент да си е сетнал зад рутера твоя ип адрес :)

Колега много ти благодаря, току що я инсталирах и изписва адресите на сървъра (за сега само те излизат - с мак адреса на изходната карта), чудех се обаче понеже онзи адрес неможе да се пингва дали ще го покаже тази програмка? Искам да ву видя мака, от там ако е възможно през микротик мак пинг или скан и тогава ще спирам линии да видя от къде иде това.

Редактирано от sitnetworks
Адрес на коментара
Сподели в други сайтове

  • 0

и аз искам да стана космонафт.. ама не ми се е получило засега.

имаш 5 суича на кръст и няколко ап-та и никаква идея какво да правиш.

не е добро начало.

за начало можеш да опиташ да си изясниш чисто за себе си L1/2 и етк.

http://bg.wikipedia.org/wiki/TCP/IP

Редактирано от Mile
Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.