2 votes

A Pale Shadow avatar

la table arp se remplit

Demandé el 29 de Juillet, 2011
Quand la question a-t-elle été
2166 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un système CentOS 5 qui sert de connecteur VPN IPSec entre mon réseau et quelques réseaux distants. Ces derniers temps, une ou deux fois par jour, le cache ARP se remplit.

Le réseau local sur lequel ce type est assis est 10.51.0.0/16 et IPSec le connecte à 10.53.0.0/16 y 10.54.0.0/16 . Il possède 2 interfaces, eth0 connecté à l'internet et eth1 qui est connecté au réseau local avec ip 10.51.1.15 .

Le cache ARP se remplit d'adresses du genre 10.51.119.x et il semble continuer méthodiquement à le remplir complètement. J'ai lancé tcpdump pendant que cela se produisait et j'ai vu des requêtes ARP pour toutes ces adresses inexistantes provenant de l'IP local. 10.51.1.15 donc c'est presque comme si quelqu'un faisait un scan du réseau, mais comment savoir d'où ça vient ? Il est peu probable que cela provienne de la boîte elle-même, personne ne devrait exécuter des analyses de ce genre à partir de celle-ci, mais cela pourrait provenir des réseaux IPSec ? Comment puis-je savoir d'où il provient ?

Problème résolu : c'est l'antivirus Kaspersky qui a découvert le système sur notre réseau.

Demandé el 29 de Juillet, 2011 par A Pale Shadow

Réponses

Trop de publicités?

2voto

Paweł Brodacki avatar
Paweł Brodacki Points 6411

Pour que le scanner puisse obtenir quelque chose (autre que de créer une attaque DOS), il doit recevoir les paquets. Si le scan semble provenir d'un sous-réseau attaché localement, alors il ne peut pas être n'importe où sur une route entre la source et l'origine, car il n'y a rien entre la boîte CentOS et 10.51.1.15.

Tu pourrais :

  1. Exécuter tcpdump con -e l'en-tête. Cela vous indiquera l'adresse MAC de l'auteur de l'analyse.
  2. Faites un ping sur 10.51.1.15 à différents moments et voyez si l'entrée arp correspond aux en-têtes de la couche liaison contenus dans le tcpdump.
  3. Si vous avez un commutateur géré, vous pouvez vous y connecter et voir d'où viennent les trames. Cela vous indiquera la prise dans laquelle le scanner est branché. Cette méthode fonctionnera également si le scanner veut simplement inonder votre cache ARP.

Il est peu probable que le scan provienne de l'extérieur du réseau 10.51.0.0/16. Les règles typiques de pare-feu laissent tomber les paquets qui prétendent provenir d'un réseau connecté localement et qui passent par une mauvaise interface. Alors, peut-être avez-vous des règles de pare-feu atypiques ;).

Je ne suis pas sûr d'avoir bien compris votre question, mais si 10.51.1.15 est l'adresse IP de la machine CentOS, alors en dehors de l'adresse IP de la machine CentOS, il n'y a pas de problème. tcpdump -e les idées ci-dessus n'ont pas de sens. Si les paquets semblent provenir de la machine locale, alors elle a des paquets à livrer à ces adresses. Dans ce cas, vous pourriez configurer des règles iptables qui enregistrent les paquets destinés aux adresses invalides du réseau 10.51.0.0/16. Par adresses invalides, j'entends les adresses qui n'ont été attribuées à aucun hôte. Si quelque chose essaie d'y accéder, il n'a probablement aucune raison légitime de le faire. Une telle règle d'enregistrement (avec la règle de limite correspondante pour empêcher le remplissage du journal) vous indiquera l'origine d'un tel paquet -- s'il provient d'une boîte locale, ou de l'un des réseaux distants.

Si les paquets semblent provenir de la boîte CentOS elle-même, vous pouvez également jeter un coup d'œil à l'adresse suivante ps lors d'une analyse suspecte et le comparer à ps la sortie sauvegardée lorsqu'il n'y a pas eu de numérisation. Vous trouverez peut-être des réponses évidentes.

Répondu el 29 de Juillet, 2011 par Paweł Brodacki (6411 Points )

1voto

Damon Snyder avatar
Damon Snyder Points 191

J'ai trouvé ceci poste pour être incroyablement utile dans le débogage d'une situation similaire. La recommandation faite ici est de faire ce qui suit :

tcpdump -l -n arp | egrep 'arp who-has' | head -100 | awk '{ print $NF }' |sort | uniq -c | sort -n

Vous obtiendrez ainsi l'adresse IP qui a fait le plus de demandes de recherche parmi les 100 dernières. Cela devrait vous donner ce dont vous avez besoin pour trouver le système incriminé.

Répondu el 23 de Octobre, 2012 par Damon Snyder (191 Points )

0voto

Cooter avatar
Cooter Points 214

Je ne sais pas si cela s'applique, mais j'ai eu exactement le même problème sur un routeur Cisco et le problème était que sur la route par défaut, j'avais spécifié le nom de l'interface plutôt que l'adresse IP. La table ARP se remplissait jusqu'à paralyser le routeur. Dès que j'ai spécifié une adresse IP, tout s'est arrangé. Cela n'a peut-être rien à voir, mais on ne sait jamais.

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 <-wrong
ip route 0.0.0.0 0.0.0.0 192.1668.99.254 <-right

Répondu el 29 de Juillet, 2011 par Cooter (214 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X