forum.opennet.ru

Составление сообщения

Исходное сообщение

"Непонятное изменение mac-адресов в сети"
Отправлено jr, 30-Апр-05 16:59

>Для начала - опишу конфигурацию и надстройки.
>Ось - FreeBSD 5.3
>Клиентские машины - MS Окна ХР (в основном).
>Для доступа к шлюзу сделал привязку клиентских IP адресов к мак-адресу небольшим
>скриптом, который взял с nag.ru.
>
>Теперь непосредственно сама проблема. Привожу часть лога системы:
>
> kernel log messages:
>
>>> arp: 00:14:6a:d5:83:1b attempts to modify permanent entry for 10.10.10.254 on rl2
>>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2
>>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2
>>> arplookup 0.0.0.0 failed: host is not on local network
>>> arp: 00:52:a8:69:48:f4 attempts to modify permanent entry for 10.10.10.26 on rl2
>>> arplookup 0.0.0.0 failed: host is not on local network
>>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2
>>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2
>>> arp: 00:a8:b3:73:bf:a7 attempts to modify permanent entry for 10.10.10.18 on rl2
>>> arp: 00:cf:87:e2:37:38 attempts to modify permanent entry for 10.10.10.16 on rl2
>>> arp: 00:02:0d:38:c1:3d attempts to modify permanent entry for 10.10.10.23 on rl2
>>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2
>>> arp: 00:52:a8:69:48:f4 attempts to modify permanent entry for 10.10.10.26 on rl2
>>> arp: 00:f8:19:89:b0:06 attempts to modify permanent entry for 10.10.10.253 on rl2
>>> arp: 00:06:c5:16:24:ea attempts to modify permanent entry for 10.10.10.27 on rl2
>>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2
>>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2
>>> arp: 00:f3:00:3a:9b:b8 attempts to modify permanent entry for 10.10.10.25 on rl2
>>> arp: 00:14:6a:d5:83:1b attempts to modify permanent entry for 10.10.10.254 on rl2
>>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2
>>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2
>>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2
>>> arp: 00:cf:87:e2:37:38 attempts to modify permanent entry for 10.10.10.16 on rl2
>>> arp: 00:a8:b3:73:bf:a7 attempts to modify permanent entry for 10.10.10.18 on rl2
>>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2
>>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2
>>> arp: 00:02:0d:38:c1:3d attempts to modify permanent entry for 10.10.10.23 on rl2
>
>
>Вот что пишет ARPWatch:
>==============================
>одно из сообщений:
>==============================
>Subject: changed ethernet address (sabina.XXXXXXXX.ua)
>
>hostname: sabina.XXXXXXXX.ua
>          ip address:
>10.10.10.9
>    ethernet address: 0:a0:5:be:46:43
>     ethernet vendor: DANIEL INSTRUMENTS, LTD.
>old ethernet address: 0:2:44:77:d6:4a
> old ethernet vendor: SURECOM Technology Co.
>           timestamp:
>Friday, April 29, 2005 15:33:15 +0300
>  previous timestamp: Friday, April 29, 2005 15:28:27 +0300
>
>   delta: 4 minutes
>===============================
>другое сообщение (связанное с предыдущим):
>===============================
>Subject: flip flop (sabina.XXXXXXXX.ua)
>
>hostname: sabina.XXXXXXXX.ua
>          ip address:
>10.10.10.9
>    ethernet address: 0:2:44:77:d6:4a
>     ethernet vendor: SURECOM Technology Co.
>old ethernet address: 0:a0:5:be:46:43
> old ethernet vendor: DANIEL INSTRUMENTS, LTD.
>           timestamp:
>Friday, April 29, 2005 15:33:49 +0300
>  previous timestamp: Friday, April 29, 2005 15:33:49 +0300
>
>   delta: 0 seconds
>================================
>
>При этом такие сообщения вылетают для всех клиентских машин (их сейчас 27).
>
>
>Обобщу:
>1. Происходит изменение мак-адреса клиента на совершенно левый (в сети таких мак-адресов
>вообще нет), длительность использования - от 0 сек до 15 минут.
>
>2. По истечении указанного в предыдущем пункте времени происходит обратное изменение адреса
>на настоящий.
>3. Такие изменения происходят с периодичностью в 5-7 минут.
>
>Что это может быть? Помогите, пожалуйста, скажите, где копать?
>Если нужны дополнительные сведения - сообщу.
сдается мне, какой-то коммутатор глючит...

Исходное сообщение
"Непонятное изменение mac-адресов в сети" Отправлено jr, 30-Апр-05 16:59
>Для начала - опишу конфигурацию и надстройки. >Ось - FreeBSD 5.3 >Клиентские машины - MS Окна ХР (в основном). >Для доступа к шлюзу сделал привязку клиентских IP адресов к мак-адресу небольшим >скриптом, который взял с nag.ru. > >Теперь непосредственно сама проблема. Привожу часть лога системы: > > kernel log messages: > >>> arp: 00:14:6a:d5:83:1b attempts to modify permanent entry for 10.10.10.254 on rl2 >>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2 >>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2 >>> arplookup 0.0.0.0 failed: host is not on local network >>> arp: 00:52:a8:69:48:f4 attempts to modify permanent entry for 10.10.10.26 on rl2 >>> arplookup 0.0.0.0 failed: host is not on local network >>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2 >>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2 >>> arp: 00:a8:b3:73:bf:a7 attempts to modify permanent entry for 10.10.10.18 on rl2 >>> arp: 00:cf:87:e2:37:38 attempts to modify permanent entry for 10.10.10.16 on rl2 >>> arp: 00:02:0d:38:c1:3d attempts to modify permanent entry for 10.10.10.23 on rl2 >>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2 >>> arp: 00:52:a8:69:48:f4 attempts to modify permanent entry for 10.10.10.26 on rl2 >>> arp: 00:f8:19:89:b0:06 attempts to modify permanent entry for 10.10.10.253 on rl2 >>> arp: 00:06:c5:16:24:ea attempts to modify permanent entry for 10.10.10.27 on rl2 >>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2 >>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2 >>> arp: 00:f3:00:3a:9b:b8 attempts to modify permanent entry for 10.10.10.25 on rl2 >>> arp: 00:14:6a:d5:83:1b attempts to modify permanent entry for 10.10.10.254 on rl2 >>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2 >>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2 >>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2 >>> arp: 00:cf:87:e2:37:38 attempts to modify permanent entry for 10.10.10.16 on rl2 >>> arp: 00:a8:b3:73:bf:a7 attempts to modify permanent entry for 10.10.10.18 on rl2 >>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2 >>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2 >>> arp: 00:02:0d:38:c1:3d attempts to modify permanent entry for 10.10.10.23 on rl2 > > >Вот что пишет ARPWatch: >============================== >одно из сообщений: >============================== >Subject: changed ethernet address (sabina.XXXXXXXX.ua) > >hostname: sabina.XXXXXXXX.ua > ip address: >10.10.10.9 > ethernet address: 0:a0:5:be:46:43 > ethernet vendor: DANIEL INSTRUMENTS, LTD. >old ethernet address: 0:2:44:77:d6:4a > old ethernet vendor: SURECOM Technology Co. > timestamp: >Friday, April 29, 2005 15:33:15 +0300 > previous timestamp: Friday, April 29, 2005 15:28:27 +0300 > > delta: 4 minutes >=============================== >другое сообщение (связанное с предыдущим): >=============================== >Subject: flip flop (sabina.XXXXXXXX.ua) > >hostname: sabina.XXXXXXXX.ua > ip address: >10.10.10.9 > ethernet address: 0:2:44:77:d6:4a > ethernet vendor: SURECOM Technology Co. >old ethernet address: 0:a0:5:be:46:43 > old ethernet vendor: DANIEL INSTRUMENTS, LTD. > timestamp: >Friday, April 29, 2005 15:33:49 +0300 > previous timestamp: Friday, April 29, 2005 15:33:49 +0300 > > delta: 0 seconds >================================ > >При этом такие сообщения вылетают для всех клиентских машин (их сейчас 27). > > >Обобщу: >1. Происходит изменение мак-адреса клиента на совершенно левый (в сети таких мак-адресов >вообще нет), длительность использования - от 0 сек до 15 минут. > >2. По истечении указанного в предыдущем пункте времени происходит обратное изменение адреса >на настоящий. >3. Такие изменения происходят с периодичностью в 5-7 минут. > >Что это может быть? Помогите, пожалуйста, скажите, где копать? >Если нужны дополнительные сведения - сообщу. сдается мне, какой-то коммутатор глючит...

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру