none
ARP protokol

    Dotaz

  • Zdravím,

    objevil se mi v síti problém. Nejdříve jsem ho registroval pouze na svém pc, dnes jsem ho zaregistroval na pěti dalších. Po restartu pc a následného přihlášení, se počítač strašně dlouho přihlašuje. Zjistil jsem, že z uvedeného pc nejde kontaktovat DNS server, který je zároveň řadič domény. Proto jsem zkontroloval fyzicky síť, která se ale jevila bez problémů. Pak mě napadlo vypsat obsah ARP keše a zjistil jsem, že u ip adresy DNS serveru je uvedená chybná MAC adresa. Pokusil jsem se keš vymazat, ale stejne se tam hned objevila špatná adresa. Po nějaké době kdy jsem zkoušel všechno možný i nemožný se to rozeběhlo, ale nedala se určit příčina a zase to nějakou dobu fungovalo. Dnes se mi to objevilo u 5 pc, tak jsem restartoval server a switch ke kterému je připojen a začalo to fungovat. Jelikož se mi to nestalo zdaleka poprvé, nevíte někdo kde by mohl být problém?

    24. září 2012 10:42

Odpovědi

Všechny reakce

  • 1. Nepridal jste do seznamu DNS verejnou adresu externiho DNS?

    2. Jak a kde jste mazal cache?

    3. Na siti je doufam jeden DHCP server (vypnut verejny DHCP na routeru).

    M

    24. září 2012 18:51
    Moderátor
  • Kontroloval jsi MAC adresu oproti databazi vyrobcu (tzn. jedna se o MAC adresu fyzicke sitovky, nebo nejakou vyhrazenou)? Nestal ses obeti ARP poisoningu nebo jineho utoku na sit?

    MP

    24. září 2012 19:49
    Moderátor
  • Muzete zkusit, zda tato MAC adresa zije nejakou ARP Ping utilitou, treba touto http://freecode.com/projects/arping

    Nemate duplicitni IP adresu v siti (shodou okolnosti vaseho DNS) ?

    POZN. A pokud mate management switche, muzete si vysledovat, na kterem fyz.portu switche se tato MAC objevuje a jit patrat na konkretni kablik.
    25. září 2012 6:55
  • 1. Nepridal jste do seznamu DNS verejnou adresu externiho DNS?

    2. Jak a kde jste mazal cache?

    3. Na siti je doufam jeden DHCP server (vypnut verejny DHCP na routeru).

    M

    1. Projel jsem záznamy na DNS serveru a nacházejí se tam pouze adresy z lokální sítě

    2. Cache jsem mazal příkazem "arp -d"

    3. DHCP nepoužíváme

    25. září 2012 10:05
  • Kontroloval jsi MAC adresu oproti databazi vyrobcu (tzn. jedna se o MAC adresu fyzicke sitovky, nebo nejakou vyhrazenou)? Nestal ses obeti ARP poisoningu nebo jineho utoku na sit?

    MP

    Mac adresu jsem kontroloval na http://coffer.com/mac_find/ . Jedná se o adresu F0-E7-7E-C2-B2-E8. Bohužel výrobce nenašel. Ten útok mě napadl taky. Pokud chápu ARP dobře, tak aby ten útok byl možný, musel by útočník zneužít nějakej lokální pc, nebo nějaký cizí pc připojit do lokální sítě. Bohužel není v mejch silách zabránit tomu, aby si někdo z uživatelů přines notebook a propojil ho do sítě místo svého pc. A co se týče zneužití stávajícího pc, tak na všech pc je nainstalovanej antivir a uživatelé nemají administrátorská práva k pc. Jedinou rozumnou ochranou je mít switch s managementem. A zde je kámen úrazu. Peníze. :-)
    25. září 2012 11:02
  • Muzete zkusit, zda tato MAC adresa zije nejakou ARP Ping utilitou, treba touto http://freecode.com/projects/arping

    Nemate duplicitni IP adresu v siti (shodou okolnosti vaseho DNS) ?

    POZN. A pokud mate management switche, muzete si vysledovat, na kterem fyz.portu switche se tato MAC objevuje a jit patrat na konkretni kablik.
    Bohužel nemám možnost překládat zdrojové kódy. Duplicitní adresou to nebude. To by v síti nefungovalo nic, protože se jedná o řadič domény. Bohužel management na přepínačích nemám. Důvodem jsou peníze. :-)
    25. září 2012 11:18
  • ad nemam switch s MGMT:

    Zavolat spratelene IT firme a pozadat o zapujcku switche s MGMT. Alespon nas by takova zadost od zakaznika nevyvedla z miry. Bezne switch zakaznikum pujcujeme k ruznym ucelum - pokusy, opravy, po dobu rekonstrukce cehokoliv atp. Pokud jste dobry zakaznik, pak je zapujcka zdarma :)

    V podstate staci jeden "lepsi" switch a postupovat od core switche od stredu site na jeji okraj.

    Switche s minimalistickym WEB managementem (coz by na toto bohate stacilo) lze poridit uz od 2000,-. Ze by byla firma tak chuda?

    http://www.lan-shop.cz/tp-link-tl-sl2428web-82029


    25. září 2012 13:44
  • Nasel jsem vyrobce:

    F0-E7-7E   (hex) Samsung Electronics Co.,Ltd
    F0E77E     (base 16) Samsung Electronics Co.,Ltd
    #94-1, Imsoo-Dong
    Gumi Gyeongbuk 730-350
    KOREA, REPUBLIC OF

    25. září 2012 23:59
    Moderátor
  • ad nemam switch s MGMT:

    Zavolat spratelene IT firme a pozadat o zapujcku switche s MGMT. Alespon nas by takova zadost od zakaznika nevyvedla z miry. Bezne switch zakaznikum pujcujeme k ruznym ucelum - pokusy, opravy, po dobu rekonstrukce cehokoliv atp. Pokud jste dobry zakaznik, pak je zapujcka zdarma :)

    V podstate staci jeden "lepsi" switch a postupovat od core switche od stredu site na jeji okraj.

    Switche s minimalistickym WEB managementem (coz by na toto bohate stacilo) lze poridit uz od 2000,-. Ze by byla firma tak chuda?

    http://www.lan-shop.cz/tp-link-tl-sl2428web-82029


    Tohle by podnik unes. :-) Je pravda, že jsem se po tom nepídil. Upřímně řečeno se mi moc ta verze s útokem nezdá. Nechce se mi věřit, že by někdo až takhle stál o naše data. :-) Spíš bych řekl, že je to nějaká HW porucha, nebo někde něco špatně nastavený. Bude se to špatně hledat, protože teď to zase jede bez nejmenších problémů.
    26. září 2012 7:24
  • Nasel jsem vyrobce:

    F0-E7-7E   (hex) Samsung Electronics Co.,Ltd
    F0E77E     (base 16) Samsung Electronics Co.,Ltd
    #94-1, Imsoo-Dong
    Gumi Gyeongbuk 730-350
    KOREA, REPUBLIC OF

    Dík moc. Jak už jsem psal výše. Teď to zase frčí bez problémů, takže není co hledat. Budu muset počkat, až se to zase projeví a do té doby seženu nějakej switch s managementem.
    26. září 2012 7:26
  • Tak se mi podařilo sehnat switch HP Procurve 2650 J4899B. Koukal jsme do managementu a hledal nějakou možnost jak na něm zakázat komunikaci již zmíněné MAC adresy. Tuto volbu jsem tam nenašel, ale je tam možnost vypsat tabulku MAC adres. Takže pokud se problém objeví, jsme schopný  zjistit na jakém portu je ta již zmíněná MAC adresa pověšená. Teď zbývá jen čekat, až se problém projeví. Určitě zde budu informovat o výsledku.
    26. září 2012 12:02
  • Vlastimile, muzeme diskusi uzavrit? Pokud ano, oznacte spravnou odpoved (resp odpovedi). M
    10. října 2012 19:34
    Moderátor
  • Problém, kvůli kterému jsem diskusi zakládal, není vyřešen, respektive, přestal se projevovat, takže nemůžu určit správnou odpověď nebo odpovědi. Pokud ale na uzavření trváte, tak nějakou odpověď vyberu, ale může to být matoucí pro další, kteří se s podobným problémem také setkají.

    11. října 2012 7:08
  • Vlastimile, bylo by dobre diskusi uzavrit, jinak nektery z moderatoru urci spravnou/e odpoved/i sam.

    M.

    15. října 2012 19:50
    Moderátor
  • Problém ještě není vyřešen a označená odpověď je směr kterým se ubírám. V tuto chvíli čekám, až se problém objeví znovu.
    16. října 2012 6:11