Добро пожаловать на форум, Гость!
Войдите или зарегистрируйтесь!
Имя пользователя:   Пароль:  
Запомнить меня 




Начать новую тему Ответить на тему   [ Сообщений: 17 ]  На страницу
12
 След.
Автор Сообщение
 Заголовок сообщения: IP конфликт
СообщениеДобавлено: 12 сен 2012, 11:12 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 16

Зарегистрирован: 19 апр 2011, 13:34
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.
Господа системные администраторы есть у меня страшная проблема с которой не знаю как бороться. В большой сетке кто то ставит IP адрес сервера, получается IP конфликт и сервер падает. Может кто сталкивался должны же быть инструменты для борьбы с подобными намереныыми вредителями?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 12 сен 2012, 11:33 
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 1899

Зарегистрирован: 03 мар 2010, 11:25
Благодарил (а): 4 раз.
Поблагодарили: 39 раз.
ОС: Centos 7
NeekoLife
Есть отличная штука DHCP с привязкой по МАКу, а потом с запретом в политиках на смену адреса. И усё.... Если сетка большая, то думаю AD должен быть...


Изображение

Изображение

Work: Centos 7 х 'all Servers'



За это сообщение автора Infernal Flame поблагодарил: NeekoLife
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 12 сен 2012, 11:49 
Бородатый сис
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 2920
Откуда: Из серверной
Зарегистрирован: 03 мар 2010, 15:12
Благодарил (а): 19 раз.
Поблагодарили: 122 раз.
ОС: RHEL 7
+ можно фаерволом прикрыть серверу доступы на 68 порт всем, кроме dhcp-сервера.

А найти злыдня можно. Wireshark и ей подобный софт вам в помощь - запустите ее на пару суток и посмотрите кто рассылает обьявления DHCP-сервера.


Я не злопамятный, я просто часто ковыряю логи
Изображение



За это сообщение автора Raven поблагодарил: NeekoLife
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 13 сен 2012, 09:28 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 269
Откуда: Брянск
Зарегистрирован: 18 май 2012, 16:34
Благодарил (а): 0 раз.
Поблагодарили: 18 раз.
ОС: ARCH Linux
Ну есть вариант попроще на самом деле.

arpwatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog. Используется как один из инструментов для борьбы с ARP-spoofing'ом.

Демон анализирует ARP-ответы на сетевом интерфейсе, к которому он привязан, и запоминает соответствие IP-адресов и MAC-адресов. Как только он видит, что соответствие нарушено, или обнаруживает появление новых адресов в сети, он сообщает об этом в системный журнал (syslog).
Подробнее http://xgu.ru/wiki/arpwatch
Ставится элементарно...без каких либо задвижек. Настрой ему свою почту и он будет слать тебе отчеты на почту.)))

Ну а если у тебя появился посторонний DHCP тут есть способ поинтереснее.
Скажу честно...это не моё решение. *JONKLY* Но по моему гениально и просто.
Лови
Код:
 Конкретная ситуация.
Пул у DHCP-сервера .0.100 - .0.240
Клиентские машины получают адреса отличные от заданного диапазона. Одна из проблем может крыться в том, что в сети существует еще один DHCP, который также раздает адреса. Конечно, при условии, что он находится в другой подсети, иначе, вероятнее всего, будет достаточно много веселых историй про бесов в сети.

Короче, делаем так:
# cd /var/lib/dhcp3/(тут возможно просто dhcp)
# mc

Там выбираем последний созданный файл и жмем F3. Нас интересует строка:
option dhcp-server-identifier <ip адрес>;

Это и будет адрес dhcp-сервера, который вызывает проблему. Осталось только его найти... :)

Блин ну а вообще дабы не латать абы что закрой на свитчах прохождение пакетов к пользователям на 68 порт UDP как было предложено выше. Разрешения делай по маку сервера. Уж надеюсь этот мудак мак не подделал...
Подробнее тебе поможет это http://ru.wikipedia.org/wiki/DHCP
Короче способов для творчества вал)))
Удачи в ловле мышей. *HALLO*


01010000011010000110000101101110011101000110111101101101



За это сообщение автора Phantom поблагодарил: NeekoLife
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 18 сен 2012, 22:08 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 16

Зарегистрирован: 19 апр 2011, 13:34
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.
шикарно ребят. Arpwatch попробую прямо сегодня. Но каким образом закрытие 68 порта на свиче поможет решить вопрос, если можно по подробней?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 18 сен 2012, 22:11 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 16

Зарегистрирован: 19 апр 2011, 13:34
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.
Raven писал(а):
+ можно фаерволом прикрыть серверу доступы на 68 порт всем, кроме dhcp-сервера.

А найти злыдня можно. Wireshark и ей подобный софт вам в помощь - запустите ее на пару суток и посмотрите кто рассылает обьявления DHCP-сервера.



как то я помню WireSharkом искал вирусный трафик. очень уж эта программулька грузит сетку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 18 сен 2012, 22:12 
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 1899

Зарегистрирован: 03 мар 2010, 11:25
Благодарил (а): 4 раз.
Поблагодарили: 39 раз.
ОС: Centos 7
NeekoLife
DHCP работает в диапазоне 67-69 портов по tcp/udp. Могу с диапазоном ошибиться...
вот только меня несколько настораживает вариант того, что некорректно закрытые порты могут как отрубить злоумышленника, так и главный серв. Т.е. надо очень вдумчиво рисовать политики...


Изображение

Изображение

Work: Centos 7 х 'all Servers'


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 18 сен 2012, 22:48 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 16

Зарегистрирован: 19 апр 2011, 13:34
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.
Phantom писал(а):
Ну есть вариант попроще на самом деле.



Ну а если у тебя появился посторонний DHCP тут есть способ поинтереснее.
Скажу честно...это не моё решение. *JONKLY* Но по моему гениально и просто.
Лови
Код:
 Конкретная ситуация.
Пул у DHCP-сервера .0.100 - .0.240
Клиентские машины получают адреса отличные от заданного диапазона. Одна из проблем может крыться в том, что в сети существует еще один DHCP, который также раздает адреса. Конечно, при условии, что он находится в другой подсети, иначе, вероятнее всего, будет достаточно много веселых историй про бесов в сети.

Короче, делаем так:
# cd /var/lib/dhcp3/(тут возможно просто dhcp)
# mc

Там выбираем последний созданный файл и жмем F3. Нас интересует строка:
option dhcp-server-identifier <ip адрес>;

Это и будет адрес dhcp-сервера, который вызывает проблему. Осталось только его найти... :)



не DHCP другого нету. Есть файловик в локалке со статическим айпи и кто то в самые важные моменты намеренно его роняет. потом nmapом смотрю что за комп держит этот айпи каждый раз разный - хитер спуфер. вот я и думаю какое то системное решение найти


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 18 сен 2012, 22:53 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 16

Зарегистрирован: 19 апр 2011, 13:34
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.
хотя конешно есть DHCP на других шлюзах, но у них же другие подсети они не могут раздать этот айпи


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IP конфликт
СообщениеДобавлено: 18 сен 2012, 23:39 
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 1899

Зарегистрирован: 03 мар 2010, 11:25
Благодарил (а): 4 раз.
Поблагодарили: 39 раз.
ОС: Centos 7
NeekoLife
Если ИП статический, то может имеет смысл еще посмотреть кто в это время логинился на машину? ну типа вредитель сначала убеждается, что глобальный пистес замутит и тут же выставляет у себя ИП сервака....
А так - лучшее решение это запрет смены ИПов :) в политиках... типа "ибо нех"...


Изображение

Изображение

Work: Centos 7 х 'all Servers'


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу
12
 След.
   Похожие темы   Автор   Ответов   Просмотров   Последнее сообщение 
Перенесенная ^_^

в форуме Linux

root

3

38

02 мар 2010, 16:15

Gen1us2k Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Компания Canonical выпустила систему управления контейнер...

в форуме Новости *nix

[Ботя]

0

260

12 апр 2016, 22:30

Гость Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме PyPy.js - реализация языка Python для web-браузеров

в форуме Новости *nix

[Ботя]

0

326

07 май 2015, 01:30

Гость Перейти к последнему сообщению



Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Собрано Raven. Русская поддержка phpBB
phpBB SEO