none
Неправильный Mac в ARP таблице RRS feed

  • Вопрос

  • Пропал доступ к одному серверу в сети, стали разбираться в чем дело - выяснилось, что в ARP таблице этому серверу соответствует какой-то левый Mac, не его. Через пару минут кэш ARP'а на клиентских машинах обновляется и ip сервера присваивается правильный Mac, но до этого момента сервер недоступен. Откуда мог взяться левый Mac и как его удалить из сети?

Ответы

Все ответы

  • Есть такой тип хакерской атаки "ARP Cache Poisoning" (http://www.realsofts.com/articles/arp-cache-poisoning-part-1). В качестве временного решения можно на всех компьютерах вручную задать соответствие MAC- и IP-адресов критичных серверов. Делается это командой:  arp -s IPAddress MACAddress

    Далее, если у вас коммутаторы управляемые, по таблицам MAC-адресов можно определить на каком порте сидит нарушитель.

    6 июня 2012 г. 14:20
  • Спасибо, за ответ, пришлось задавать соответствия руками. Должен заметить, что из под Windows 7 команда arp -s IPAddress MACAddress выдовала ошибку, о нехватке прав, несмотря на наличие прав администратора. Пришлось делать через команду netsh interface ipv4 set neighbors "Имя сетевого соединения" "IPAddress" "MACAddress".

    По маку нашел нарушителя и отключил его от сети, но на клиентских компьютерах, где не задано статическое соответствие, команда arp -a все равно выдает Mac-адрес нарушителя напротив ip-адреса сервера.