IP конфликт

Операционки на базе Unix
NeekoLife
Юзер
Юзер
Сообщения: 16
Зарегистрирован: 19 апр 2011, 13:34

IP конфликт

Сообщение NeekoLife » 12 сен 2012, 11:12

Господа системные администраторы есть у меня страшная проблема с которой не знаю как бороться. В большой сетке кто то ставит IP адрес сервера, получается IP конфликт и сервер падает. Может кто сталкивался должны же быть инструменты для борьбы с подобными намереныыми вредителями?
Аватара пользователя
Infernal Flame
Злой Модер
Сообщения: 1796
Зарегистрирован: 03 мар 2010, 11:25
ОС: Centos 7
Контактная информация:

Re: IP конфликт

Сообщение Infernal Flame » 12 сен 2012, 11:33

NeekoLife
Есть отличная штука DHCP с привязкой по МАКу, а потом с запретом в политиках на смену адреса. И усё.... Если сетка большая, то думаю AD должен быть...
Изображение
Изображение
Work: Centos 7 х 'all Servers'
Аватара пользователя
Raven
Бородатый сис
Бородатый сис
Сообщения: 2800
Зарегистрирован: 03 мар 2010, 15:12
ОС: RHEL 8
Откуда: Из серверной

Re: IP конфликт

Сообщение Raven » 12 сен 2012, 11:49

+ можно фаерволом прикрыть серверу доступы на 68 порт всем, кроме dhcp-сервера.

А найти злыдня можно. Wireshark и ей подобный софт вам в помощь - запустите ее на пару суток и посмотрите кто рассылает обьявления DHCP-сервера.
Я не злопамятный, я просто часто ковыряю логи
Аватара пользователя
Phantom
Эникейщик
Эникейщик
Сообщения: 266
Зарегистрирован: 18 май 2012, 16:34
ОС: ARCH Linux
Откуда: Брянск
Контактная информация:

Re: IP конфликт

Сообщение Phantom » 13 сен 2012, 09:28

Ну есть вариант попроще на самом деле.

arpwatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog. Используется как один из инструментов для борьбы с ARP-spoofing'ом.

Демон анализирует ARP-ответы на сетевом интерфейсе, к которому он привязан, и запоминает соответствие IP-адресов и MAC-адресов. Как только он видит, что соответствие нарушено, или обнаруживает появление новых адресов в сети, он сообщает об этом в системный журнал (syslog).
Подробнее http://xgu.ru/wiki/arpwatch
Ставится элементарно...без каких либо задвижек. Настрой ему свою почту и он будет слать тебе отчеты на почту.)))

Ну а если у тебя появился посторонний DHCP тут есть способ поинтереснее.
Скажу честно...это не моё решение. *JONKLY* Но по моему гениально и просто.
Лови

Код: Выделить всё

 Конкретная ситуация.
Пул у DHCP-сервера .0.100 - .0.240
Клиентские машины получают адреса отличные от заданного диапазона. Одна из проблем может крыться в том, что в сети существует еще один DHCP, который также раздает адреса. Конечно, при условии, что он находится в другой подсети, иначе, вероятнее всего, будет достаточно много веселых историй про бесов в сети.

Короче, делаем так:
# cd /var/lib/dhcp3/(тут возможно просто dhcp)
# mc

Там выбираем последний созданный файл и жмем F3. Нас интересует строка:
option dhcp-server-identifier <ip адрес>;

Это и будет адрес dhcp-сервера, который вызывает проблему. Осталось только его найти... :)
Блин ну а вообще дабы не латать абы что закрой на свитчах прохождение пакетов к пользователям на 68 порт UDP как было предложено выше. Разрешения делай по маку сервера. Уж надеюсь этот мудак мак не подделал...
Подробнее тебе поможет это http://ru.wikipedia.org/wiki/DHCP
Короче способов для творчества вал)))
Удачи в ловле мышей. *HALLO*
01010000011010000110000101101110011101000110111101101101
NeekoLife
Юзер
Юзер
Сообщения: 16
Зарегистрирован: 19 апр 2011, 13:34

Re: IP конфликт

Сообщение NeekoLife » 18 сен 2012, 22:08

шикарно ребят. Arpwatch попробую прямо сегодня. Но каким образом закрытие 68 порта на свиче поможет решить вопрос, если можно по подробней?
NeekoLife
Юзер
Юзер
Сообщения: 16
Зарегистрирован: 19 апр 2011, 13:34

Re: IP конфликт

Сообщение NeekoLife » 18 сен 2012, 22:11

Raven писал(а):+ можно фаерволом прикрыть серверу доступы на 68 порт всем, кроме dhcp-сервера.

А найти злыдня можно. Wireshark и ей подобный софт вам в помощь - запустите ее на пару суток и посмотрите кто рассылает обьявления DHCP-сервера.

как то я помню WireSharkом искал вирусный трафик. очень уж эта программулька грузит сетку
Аватара пользователя
Infernal Flame
Злой Модер
Сообщения: 1796
Зарегистрирован: 03 мар 2010, 11:25
ОС: Centos 7
Контактная информация:

Re: IP конфликт

Сообщение Infernal Flame » 18 сен 2012, 22:12

NeekoLife
DHCP работает в диапазоне 67-69 портов по tcp/udp. Могу с диапазоном ошибиться...
вот только меня несколько настораживает вариант того, что некорректно закрытые порты могут как отрубить злоумышленника, так и главный серв. Т.е. надо очень вдумчиво рисовать политики...
Изображение
Изображение
Work: Centos 7 х 'all Servers'
NeekoLife
Юзер
Юзер
Сообщения: 16
Зарегистрирован: 19 апр 2011, 13:34

Re: IP конфликт

Сообщение NeekoLife » 18 сен 2012, 22:48

Phantom писал(а):Ну есть вариант попроще на самом деле.



Ну а если у тебя появился посторонний DHCP тут есть способ поинтереснее.
Скажу честно...это не моё решение. *JONKLY* Но по моему гениально и просто.
Лови

Код: Выделить всё

 Конкретная ситуация.
Пул у DHCP-сервера .0.100 - .0.240
Клиентские машины получают адреса отличные от заданного диапазона. Одна из проблем может крыться в том, что в сети существует еще один DHCP, который также раздает адреса. Конечно, при условии, что он находится в другой подсети, иначе, вероятнее всего, будет достаточно много веселых историй про бесов в сети.

Короче, делаем так:
# cd /var/lib/dhcp3/(тут возможно просто dhcp)
# mc

Там выбираем последний созданный файл и жмем F3. Нас интересует строка:
option dhcp-server-identifier <ip адрес>;

Это и будет адрес dhcp-сервера, который вызывает проблему. Осталось только его найти... :)
не DHCP другого нету. Есть файловик в локалке со статическим айпи и кто то в самые важные моменты намеренно его роняет. потом nmapом смотрю что за комп держит этот айпи каждый раз разный - хитер спуфер. вот я и думаю какое то системное решение найти
NeekoLife
Юзер
Юзер
Сообщения: 16
Зарегистрирован: 19 апр 2011, 13:34

Re: IP конфликт

Сообщение NeekoLife » 18 сен 2012, 22:53

хотя конешно есть DHCP на других шлюзах, но у них же другие подсети они не могут раздать этот айпи
Аватара пользователя
Infernal Flame
Злой Модер
Сообщения: 1796
Зарегистрирован: 03 мар 2010, 11:25
ОС: Centos 7
Контактная информация:

Re: IP конфликт

Сообщение Infernal Flame » 18 сен 2012, 23:39

NeekoLife
Если ИП статический, то может имеет смысл еще посмотреть кто в это время логинился на машину? ну типа вредитель сначала убеждается, что глобальный пистес замутит и тут же выставляет у себя ИП сервака....
А так - лучшее решение это запрет смены ИПов :) в политиках... типа "ибо нех"...
Изображение
Изображение
Work: Centos 7 х 'all Servers'
Ответить

Вернуться в «Unix»