wilde napisał(a):

>witam mam wielki problem
>moj siec cos zacznyna swirowac, pojawiaja sie przerwy w dostepnie do neta na
>poziomie serwera
>tzn dziala net przez 30min albo godzinke a potem nagle przerwa na 5 albo 10
>min i potem znowu wszystko dziala
>zwrocilem uwage na to ze switch zaczol dziwnie mrugac tak jakby aktywnosc
>wzrosla 300% (oszalal)
>badam logi i mam cos takiego w syslog:
>Oct 17 08:55:22 bolek kernel: Neighbour table overflow.
>Oct 17 08:55:25 bolek kernel: printk: 66 messages suppressed.
>Oct 17 08:55:25 bolek kernel: Neighbour table overflow.
>Oct 17 08:55:30 bolek kernel: printk: 147 messages suppressed.
>Oct 17 08:55:30 bolek kernel: Neighbour table overflow.
>Oct 17 08:55:35 bolek kernel: printk: 147 messages suppressed.
>Oct 17 08:55:35 bolek kernel: Neighbour table overflow.
>Oct 17 08:55:40 bolek kernel: printk: 129 messages suppressed.
>Oct 17 08:55:40 bolek kernel: Neighbour table overflow.
>
>i powtarza sie to juz od 2 dni
>po resetach serera jest to samo nic nie daje , nie jest to tez za mala ilosc
>wpisow ustawiona w tablicach
>bo juz to sprawdzalem i zwiekszylem
>po zapodaniu # tcpdump -vvv -n -i eth0 | grep arp mam tak:
>8:47:31.462871 arp who-has 10.1.122.67 tell 10.1.14.3
>08:47:31.562288 arp who-has 10.1.228.185 tell 10.1.14.3
>08:47:31.562355 arp who-has 10.1.81.174 tell 10.1.14.3
>08:47:31.662486 arp who-has 10.1.207.5 tell 10.1.14.3
>08:47:31.662584 arp who-has 10.1.223.103 tell 10.1.14.3
>08:47:31.662612 arp who-has 10.1.153.46 tell 10.1.14.3
>08:47:31.662643 arp who-has 10.1.1.92 tell 10.1.14.3
>08:47:31.762866 arp who-has 10.1.27.16 tell 10.1.14.3
>08:47:31.863135 arp who-has 10.1.122.86 tell 10.1.14.3
>08:47:31.863232 arp who-has 10.1.90.63 tell 10.1.14.3
>08:47:31.863262 arp who-has 10.1.139.99 tell 10.1.14.3
>08:47:31.863295 arp who-has 10.1.182.147 tell 10.1.14.3
>08:47:31.863386 arp who-has 10.1.196.159 tell 10.1.14.3
>
>10.1.196.159 i inne wogle nie wystepuja w mojej sieci natomiast 10.1.14.3
>tak
>ale wczoraj podczas tego polecenia w miejscu gdize teraz wyraznie jest tylko
>10.1.14.3
>bylo kilka roznych ip z mojej sieci . Serwer stoii od miesiaca i nic takiego
>sie nie dzialo az do przedwczoraj
>, a serwer to slackware 10.2 na jajku 2.6.x .
>Wyglada mi to jak wirus ktory skanuje siec i wmarza ruch na lanie co wjakis
>sposob zapych wszystko :(
>niemam juz pomysla jak wykryc tego usera ktory ma tego wira albo wogla jak
>sobie z tym problemem poradzic !
>pozdrawiam WiLdE
>ps. z gorki dzienki za pomoc !!
>
>
>
To nie wirus, a raczej sniffer. Ktoś próbuje zalać pamięć switha
pakietami z adresem MAC/IP nie występującym w sieci, w rezultacie swith
zaczyna głupieć i rozsyła pakiety do wszystkich portów, w ten sposób
osoba sniffująca będzie odbierać pakiety nadawane przykładowo do serwera.
Co do serwera to proponuję ustawić tablice ARP na sztywno. Ja tak mam
zrobione prawie od początku, i nie miałem żadnych problemów z serwerem
gdy kolega w sieci bawił się snifferem.
Po prostu do pliku /etc/ethers na stałe zwiąż adresy MAC z adresami IP,
przykładowo:
192.168.0.2 00:13:33:44:11:22
192.168.0.7 00:12:09:85:2B:D8
192.168.0.8 00:32:4F:35:10:D8
192.168.0.9 0
192.168.0.10 0
192.168.0.11 0
192.168.0.12 0
192.168.0.13 0
192.168.0.14 0
192.168.0.15 0
192.168.0.16 0
(...)
192.168.0.254 0
tam gdzie są tylko zera są to adresy nie połączone z żadnym maciem, po
prostu nie chciałem żeby ktoś łączył się z serwerem z innego IP niż ja
ustawiłem :)
Potem do skryptów startowych trzeba dodać komendę:
arp -f
Jeśli problem nie został rozwiązany to pisz, coś wymyślimy :)
Received on Tue Oct 18 02:18:37 2005