Problema Arp Table

[magemelli]

Bom dia pessoal, estou com um problema grave no meu servidor,
tenho um server slackware 11 e acredito que tenha algum dispositivo lançando mac na rede e todos os ips do firewall estão com o mesmo mac. O que posso fazer? até achei que tinha alguma invasão...
Alguém pode me dar uma mão??

Valew

[laerciomotta]

Bem, acredito que aqui ninguem tenha bola de cristal..
Então se quiser ajuda, poste o que aconteceu..
- Cenário
- Tabela ARP
- Firewall.

Eu num sei o que está acontecendo..
Mais acredito que com um TCPDUMP você resolve..
Basta dominar o bicho. Sabe como funcionar protocolos?
Não? Então vamo estuda...

[]'s

[magemelli]

Obrigado pela ajuda laerciomotta

Seguinte...

Segue uma parte da tabela arp...

10.100.0.145 ether 00:15:6D:5A:94:B2 C eth0
10.0.0.211 ether 00:15:6D:FC:C5:89 C eth0
10.100.1.76 ether 00:15:6D:5A:94:B2 C eth0
10.100.1.254 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.143 ether 00:15:6D:5A:94:B2 C eth0
10.0.0.200 ether 00:15:6D:5A:94:B2 C eth0
10.0.0.39 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.38 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.192 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.109 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.170 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.116 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.65 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.251 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.99 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.107 ether 00:15:6D:5A:94:B2 C eth0
10.100.1.12 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.56 ether 00:15:6D:5A:94:B2 C eth0
192.168.250.4 ether 00:C0:CA:182:7E C eth0
10.100.1.213 ether 00:15:6D:5A:94:B2 C eth0
10.100.1.88 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.157 ether 00:15:6D:5A:94:B2 C eth0
10.100.0.178 ether 00:15:6D:5A:94:B2 C eth0
10.0.0.54 ether 00:15:6D:5A:94:B2 C eth0


tenho duas faixas de rede e ele pegou nas duas,

e a máquina é um servidor de internet.. com slackware
Como eu poderia verificar o causador com o TCPDUMP?
por que eu to achando que é alguma máquina linux mal configurada na rede...

[laerciomotta]

Bem, como eu não sei quem cuida da rede, se é vc ou nao(acredito que seja). Acho, veja bem.. Eu acho que tem uma maquina na rede fazendo ARP Spoofing ou pode ser um radio wireless que ta fazendo a coisa.. Se tiver um roteador wireless na jogada conectado como cliente provavelmente seja ela o causador.. Primeiro vc teria que descobrir de quem é esse MAC Address ae.
Se for uma máquina da rede tu vai ter que ver se tem virus nela.. Se for um roteador é normal que isso aconteça..
Cara é tanta coisa que pode ser que até da dor de cabeça só de pensa
tcpdump iria ajudar a ver o tráfego da rede.. Mais como eu falei ele é bem complexo, teria que ler algo antes de trabalhar com ele.. Sugiro(algo rápido) a palestra do Eriberto Mota Filho sobre TCPDUMP/Análise de Tráfego de Redes.. Da uma googlada que tu acha ele..
Ah! Outro detalhe de nada adianta vc ter duas faixas de rede se todas as máquinas não estarem com a mesma máscara.. Mais isso acredito que deva saber.. Esta usando máscara 128?

[magemelli]

Muito Obrigado pela dica da palestra..Com certeza vou dar uma olhada agora mesmo.. Acredito sim que seja um Station fazendo spoofing. A faixa de rede sim, eu sei, a intenção é que as duas não se enxerguem, uma eu uso somente para as aps e outra para os clientes.. até não concordo muito com isso, mas peguei o provedor assim e vamos mudando aos poucos rsrsrsr

Muito obrigado pela ajuda, assim que descobrir (e quero fazer isso o mais rápido possível!!! ) posto qual foi a solução..

Att,

Marco