-
Problema Arp Table
Bom dia pessoal, estou com um problema grave no meu servidor,
tenho um server slackware 11 e acredito que tenha algum dispositivo lançando mac na rede e todos os ips do firewall estão com o mesmo mac. O que posso fazer? até achei que tinha alguma invasão...
Alguém pode me dar uma mão??
Valew
-
Re: Problema Arp Table
Bem, acredito que aqui ninguem tenha bola de cristal..
Então se quiser ajuda, poste o que aconteceu..
- Cenário
- Tabela ARP
- Firewall.
Eu num sei o que está acontecendo..
Mais acredito que com um TCPDUMP você resolve..
Basta dominar o bicho. Sabe como funcionar protocolos?
Não? Então vamo estuda...
[]'s
-
Re: Problema Arp Table
Obrigado pela ajuda laerciomotta
Seguinte...
Segue uma parte da tabela arp...
10.100.0.145 ether 00:15:6D:5A:94:B2 C eth0
10.0.0.211 ether 00:15:6D:FC:C5:89 C eth0
10.100.1.76 ether 00:15:6D:5A:94:B2 C eth0
10.100.1.254 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.143 ether 00:15:6D:5A:94:B2 C eth0
10.0.0.200 ether 00:15:6D:5A:94:B2 C eth0
10.0.0.39 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.38 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.192 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.109 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.170 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.116 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.65 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.251 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.99 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.107 ether 00:15:6D:5A:94:B2 C eth0
10.100.1.12 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.56 ether 00:15:6D:5A:94:B2 C eth0
192.168.250.4 ether 00:C0:CA:18:D2:7E C eth0
10.100.1.213 ether 00:15:6D:5A:94:B2 C eth0
10.100.1.88 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.157 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.178 ether 00:15:6D:5A:94:B2 C eth0
10.0.0.54 ether 00:15:6D:5A:94:B2 C eth0
tenho duas faixas de rede e ele pegou nas duas,
e a máquina é um servidor de internet.. com slackware
Como eu poderia verificar o causador com o TCPDUMP?
por que eu to achando que é alguma máquina linux mal configurada na rede...
-
Re: Problema Arp Table
Bem, como eu não sei quem cuida da rede, se é vc ou nao(acredito que seja). Acho, veja bem.. Eu acho que tem uma maquina na rede fazendo ARP Spoofing ou pode ser um radio wireless que ta fazendo a coisa.. Se tiver um roteador wireless na jogada conectado como cliente provavelmente seja ela o causador.. Primeiro vc teria que descobrir de quem é esse MAC Address ae. :dong:
Se for uma máquina da rede tu vai ter que ver se tem virus nela.. Se for um roteador é normal que isso aconteça..
Cara é tanta coisa que pode ser que até da dor de cabeça só de pensa :hmmmm2:
tcpdump iria ajudar a ver o tráfego da rede.. Mais como eu falei ele é bem complexo, teria que ler algo antes de trabalhar com ele.. Sugiro(algo rápido) a palestra do Eriberto Mota Filho sobre TCPDUMP/Análise de Tráfego de Redes.. Da uma googlada que tu acha ele.. :sleep:
Ah! Outro detalhe de nada adianta vc ter duas faixas de rede se todas as máquinas não estarem com a mesma máscara.. Mais isso acredito que deva saber.. Esta usando máscara 128?
-
Re: Problema Arp Table
Muito Obrigado pela dica da palestra..Com certeza vou dar uma olhada agora mesmo.. Acredito sim que seja um Station fazendo spoofing. A faixa de rede sim, eu sei, a intenção é que as duas não se enxerguem, uma eu uso somente para as aps e outra para os clientes.. até não concordo muito com isso, mas peguei o provedor assim e vamos mudando aos poucos rsrsrsr
Muito obrigado pela ajuda, assim que descobrir (e quero fazer isso o mais rápido possível!!! ) posto qual foi a solução..
Att,
Marco