Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Andrew Grekhov
Зарегистрирован: 29.06.2005 Сообщения: 200
|
Добавлено: Вт Ноя 27 2007 07:16 Заголовок сообщения: Кто такой 192.168.30.32? |
|
|
Второй раз ловлю ARP пакеты
"кто имеет 192.168.30.32 сказать 192.168.30.32".
Когда первый раз ловил - это был наш зависший сервак (ось: клон RHEL 3),
который к тому же был отделён рутером.
Второй раз поймал просто в сети этот запрос от левого сервака.
Вопрос что это такое?
Адресация с адресом 192.168.30.32 не пересекается и близко.
Извините за не ясность изложения мыслей. |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Вт Ноя 27 2007 08:15 Заголовок сообщения: |
|
|
1. Служба сообщений что-ли? отключить и всё.
2. Адресок закинь в фаер.
3. Роутер не "в теме". адрес 192.168.*.* В тырнете нет такого роутинга.
4. Машину погонять антивирями стоило-бы
Также, такие чудеса может вытворять сетевая. Неглупый контроллер - предмет гордости "интел" )) , который соединён напрямую со вторым сетевым интерфейсом, и может работать, независимо от операционной системы. С помощью специальной софтины поставляемой интел можно конфигурировать и контролировать его параметры. _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Ноя 27 2007 08:23 Заголовок сообщения: |
|
|
На MAC-адрес еще гляди. Это будет адрес реальной сетевухи либо роутера, либо сервера. Ну и смотри на коммутаторе на каком порту MAC висит. Так дойдешь как по веревочке к источнику. |
|
Вернуться к началу |
|
|
Andrew Grekhov
Зарегистрирован: 29.06.2005 Сообщения: 200
|
Добавлено: Вт Ноя 27 2007 09:44 Заголовок сообщения: |
|
|
San_dok писал(а): | 1. Служба сообщений что-ли? отключить и всё.
|
Вроде ничего такого не включали и не ставили.
Цитата: |
2. Адресок закинь в фаер.
|
В смысле МАК?
Цитата: |
3. Роутер не "в теме". адрес 192.168.*.* В тырнете нет такого роутинга.
|
В курсе. Этот комп стоял вообще в отдельном сегменте, куда из нашей
сетки, не говоря про интернет попасть проблематично.
192.168.30.* таких адресов(во всяком случае легальных) у нас в организации нет.
4. Машину погонять антивирями стоило-бы
Возможно.
Цитата: |
Также, такие чудеса может вытворять сетевая. Неглупый контроллер - предмет гордости "интел" )) , который соединён напрямую со вторым сетевым интерфейсом, и может работать, независимо от операционной системы. С помощью специальной софтины поставляемой интел можно конфигурировать и контролировать его параметры. |
Вот тут по подробнее пожалуйста.
Сетевушка действительно в обоих случаях INTEL.
Сейчас глянул наш сервак опять этот мусор шлёт.
2 and3008
Так первый раз и дошел, а во втором случае проверил что не мой сегмент и успокоился.
Хотел выяснить что это: вирус,служба,кривые настройки и/или руки. |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Вт Ноя 27 2007 10:25 Заголовок сообщения: |
|
|
Andrew Grekhov писал(а): |
В смысле МАК?
Вот тут по подробнее пожалуйста.
Сетевушка действительно в обоих случаях INTEL.
Сейчас глянул наш сервак опять этот мусор шлёт.
Хотел выяснить что это: вирус,служба,кривые настройки и/или руки. |
Не мак конечно а ип.
Это подобие IBM'овского RSA. Вашей платформы не телепачу, просто возьмите комплект того барахла что шло вместе с сервером, и покопайте там. Будет тулза, которая конфигурирует поведение этого контроллера. _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
Andrew Grekhov
Зарегистрирован: 29.06.2005 Сообщения: 200
|
Добавлено: Вт Ноя 27 2007 13:27 Заголовок сообщения: |
|
|
Ясно, спасибо.
Будет возможность остановим покапаемся. |
|
Вернуться к началу |
|
|
mare
Зарегистрирован: 12.09.2003 Сообщения: 222
|
Добавлено: Ср Ноя 28 2007 22:06 Заголовок сообщения: |
|
|
Типовые шаги:
1. Раз в сети появляется arp-запрос для выяснения MAC-адреса хоста, имеющего такой-то IP-адрес, значит кто-то этот запрос выдает. Этого отправителя как раз и можно увидеть при анализе arp-пакета в адресе отправителя (по MAC).
2. После определения источника arp-запроса можно установить, откуда и какой программой генерируется ARP-запрос.
Для этого подходите к источнику arp-запроса, а потом есть несколько путей:
- поиск в реестре;
- поиск маршрутов (route print; arp -a) - а вдруг, ранее когда-то установили маршрут до этой сети? опять же надо поискать маршрут по-умолчанию для интересующего ip-адреса;
- поиск портов для сетевых принтеров (может, этот компьютер раньше подключался к сетевому принтеру, а потом этот сетевой принтер с искомым IP-адресом удалили);
- поиск подключенных сетевых ресурсов (net use);
- поиск подстроки с ip-адресом в *.ini / *.cfg и прочих файлах на компьютере (например, FAR'ом)
- и т.п.....
Дерзайте, сударь! |
|
Вернуться к началу |
|
|
Andrew Grekhov
Зарегистрирован: 29.06.2005 Сообщения: 200
|
Добавлено: Пт Ноя 30 2007 10:10 Заголовок сообщения: |
|
|
2 mare
Тема вообще то закрыта, ответ я считаю что получил вполне полный.
PS. А вы знаете что такое RHEL?
PPS. А особенно интерестно где там реестр и как в него войти. Но это тема уже для курилки. |
|
Вернуться к началу |
|
|
mare
Зарегистрирован: 12.09.2003 Сообщения: 222
|
Добавлено: Пт Ноя 30 2007 21:27 Заголовок сообщения: |
|
|
Andrew Grekhov писал(а): | 2 mare
PS. А вы знаете что такое RHEL?
|
Каюсь, что не смог разглядеть между строк первого ясного (?) и исчерпывающего (?) сообщения, что Вы сопоставили "шапочку" с источником arp-запроса, а не с местом выявления этого запроса (т.е. компьютера со снифером) поэтому посчитал, что именно на этом серваке и был выловлен arp-запрос от НЕИЗВЕСТНОГО отправителя.
А в связи с тем, что несколько месяцев назад также занимался выяснением происхождения в сети подобного рода arp- и snmp-запросов от/к неизвестным ip-адресам, то посчитал нужным написАть Вам.
В связи с этим подобного рода PS и PPS неуместны, а тема - действительно закрыта, т.к. Вы закопали проблему в долгий ящик, а не решили её.
Всё, до свидания .... т.е. прощайте! |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Сб Дек 01 2007 17:53 Заголовок сообщения: |
|
|
and3008 писал(а): | Ну и смотри на коммутаторе на каком порту MAC висит. Так дойдешь как по веревочке к источнику. |
Извеняюсь за ламерский запрос, это актуально насколько я понимаю только для управляемых коммутаторов или это справедливо для любых? _________________ Best regards |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Дек 01 2007 17:57 Заголовок сообщения: |
|
|
Справедливо для любых.
Однако я слабо себе представляю как вы сможете посмотреть таблицу MAC-адресов на неуправляемом коммутаторе... |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Вс Дек 02 2007 00:45 Заголовок сообщения: |
|
|
and3008 писал(а): | Справедливо для любых.
|
+1 _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
|