RE: Bardzo dziwny ruch w sieci
Witam! Narazie spokój... Nawet arpwatch nie wywala zmian. Tak sie stało po przybiciu macków. Niestety siec czasami zamula do granic możliwości. Z dziwnych rzeczy zauważyłem jeszcze ze jeden z klientów odpytuje serwer dhcp jakies 5 -10 razy na minute Czy to możliwe ze on jest sprawcą tych śmieci?? Jacek
Re[2]: Bardzo dziwny ruch w sieci
Hello jacek, Wednesday, June 6, 2007, 6:21:13 PM, you wrote: j Witam! j Narazie spokój... Nawet arpwatch nie wywala zmian. Tak sie stało po j przybiciu macków. Niestety siec czasami zamula do granic możliwości. j Z dziwnych rzeczy zauważyłem jeszcze ze jeden z klientów odpytuje serwer j dhcp jakies 5 -10 razy na minute Czy to możliwe ze on jest sprawcą tych j śmieci?? mialem takiego, cos mial pomotane w konfigu (linux) i wpisany mial adres statycznie, a dhcp co chwile pytal, wystarczylo zablokowac mu adres aktualny a przypisac nowy i klient sam naprawil problem :) jesli chodzi o smieci to tylko padajacy switch lub accesspoint (mialem przypadek accesspointa, __chyba__ wap-4000, pomogl reset) lub ktos sie bawi, jesli masz dobre logi, jakiegos squida, dhcp arpwatch to mozesz sprobowac wydedukowac ktory pawian sie bawi, zakladajac ze to faktycznie celowe dzialanie. najczesciej jak ktos sie zaczyna bawic to np pojawia sie z danym wlasciwym macem jakis dziwny ip, albo odwrotnie, zmienia sie mac jakiemus ip. u mnie 100% trafnosci takiej dedukcji, smsik z zapytaniem 'w czym moge pomoc' i spokoj :) -- Best regards, Marekmailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bardzo dziwny ruch w sieci
Wojciech Ziniewicz [EMAIL PROTECTED] napisał(a): 04-06-07, Darek-L [EMAIL PROTECTED] napisał(a): A możecie od razu wpisać listę modeli tych switchy, które mają taką wadę zbierania śmieci ? dlink, planet etc ;) , chyba wiadomo o co chodzi - nie spotkałem sie z zadnymi tego typu problemami na switchach procurve (nawet tych najmniejszcyh), na catalystach itd. Nigdy nie zawiodły mnie także sprzęty Allied-Telesyn, a z tańszych marek - Repotec (modele wyższe oczywiście niż nabiurkowe) i Edge-Core (tych akurat niewiele miałem w łapach, ale wrażenie ogólnie bardzo pozytywne) - więcej info o tych zabawkach na priva. -- Pozdrawiam Artur Jankowski ITservice -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bardzo dziwny ruch w sieci
A możecie od razu wpisać listę modeli tych switchy, które mają taką wadę zbierania śmieci ? Mateusz (haras.pl) Harasymczuk pisze: On 5/31/07, Artur Jankowski [EMAIL PROTECTED] wrote: Jeśli tylko masz przyzwoity zarządzalny switch - przejżyj tablicę maców na poszczególnych portach. W sytuacji idealnej - czyli, gdy nie łączysz kaskadowo switchy - na każdym porcie masz jednego maca. Jeśli zauważysz, że ten sam mac przewija się na kilku portach, a nie ma możliwości, by ktoś z kompem latał od gniazdka do gniazdka - potraktuj switch resetem. Miałem kiedyś takiego D-Linka, który zbierał sobie śmieci w tablicy maców - Kilka dni, lub kilka tygodni po resecie, sieć zczynała zamulać, zdarzało się, że przestawał na jakiś przełączać do niektórych portów, a czasami kończył totalnym zwisem. Wymiana na inny egzemplarz (gwarancja) niewiele pomogła - skończył na złomowisku i razem z nim sończyły się problemy z siecią. Zakładając, że Twój switch nie jest kopnięty, port na którym będziesz miał wiele maców, szczególnie tych, które wyrzuca arpwatch, prosto po kabelku zaprowadzi Cię do dowcipnisia, który te śmieci generuje. ja nadal mam podobne problemy w firmie z tym zbieraniem informacji, po prostu co kilka tygodni trzeba resetowac switcha i jest oki ale nie badalem dokladniej ruchu w sieci moze podobnie gada jak juz mu odbija :} -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bardzo dziwny ruch w sieci
04-06-07, Darek-L [EMAIL PROTECTED] napisał(a): A możecie od razu wpisać listę modeli tych switchy, które mają taką wadę zbierania śmieci ? dlink, planet etc ;) , chyba wiadomo o co chodzi - nie spotkałem sie z zadnymi tego typu problemami na switchach procurve (nawet tych najmniejszcyh), na catalystach itd. -- Wojciech Ziniewicz Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje ct;umount;makeclean; zip;split;done;exit:xargs!!;)}
Re: Bardzo dziwny ruch w sieci
On 5/31/07, Artur Jankowski [EMAIL PROTECTED] wrote: Jeśli tylko masz przyzwoity zarządzalny switch - przejżyj tablicę maców na poszczególnych portach. W sytuacji idealnej - czyli, gdy nie łączysz kaskadowo switchy - na każdym porcie masz jednego maca. Jeśli zauważysz, że ten sam mac przewija się na kilku portach, a nie ma możliwości, by ktoś z kompem latał od gniazdka do gniazdka - potraktuj switch resetem. Miałem kiedyś takiego D-Linka, który zbierał sobie śmieci w tablicy maców - Kilka dni, lub kilka tygodni po resecie, sieć zczynała zamulać, zdarzało się, że przestawał na jakiś przełączać do niektórych portów, a czasami kończył totalnym zwisem. Wymiana na inny egzemplarz (gwarancja) niewiele pomogła - skończył na złomowisku i razem z nim sończyły się problemy z siecią. Zakładając, że Twój switch nie jest kopnięty, port na którym będziesz miał wiele maców, szczególnie tych, które wyrzuca arpwatch, prosto po kabelku zaprowadzi Cię do dowcipnisia, który te śmieci generuje. ja nadal mam podobne problemy w firmie z tym zbieraniem informacji, po prostu co kilka tygodni trzeba resetowac switcha i jest oki ale nie badalem dokladniej ruchu w sieci moze podobnie gada jak juz mu odbija :} -- Mateusz Harasymczuk www.haras.pl
Re: Bardzo dziwny ruch w sieci
jacek [EMAIL PROTECTED] napisał(a): - pozbierać od userów adresy MAC i zrobić statyczne mapowanie zamiast ARP (ale to pomoże tylko w jedną stronę - cwaniak nie podszyje się efektywnie pod usera, ale pod serwer nadal będzie mógł) Wpisałem statycznie do serwerka wszystkie macki (ustawiłem poleceniem arp) i dalej jest to samo - cały ruch sie blokuje Czy istnieje jakiś sposób na namierzenie tego ruchu? Oczywiscie oprócz wypinania kabelków bo troche daleko mam do tej szafy (inne miasto) i jak dojade to pewnie ruch sie skończy... A czy możliwe jest ze jakieś urządzenie jest uszkodzone ? Sieciówka lub hub,switch? Jeśli tylko masz przyzwoity zarządzalny switch - przejżyj tablicę maców na poszczególnych portach. W sytuacji idealnej - czyli, gdy nie łączysz kaskadowo switchy - na każdym porcie masz jednego maca. Jeśli zauważysz, że ten sam mac przewija się na kilku portach, a nie ma możliwości, by ktoś z kompem latał od gniazdka do gniazdka - potraktuj switch resetem. Miałem kiedyś takiego D-Linka, który zbierał sobie śmieci w tablicy maców - Kilka dni, lub kilka tygodni po resecie, sieć zczynała zamulać, zdarzało się, że przestawał na jakiś przełączać do niektórych portów, a czasami kończył totalnym zwisem. Wymiana na inny egzemplarz (gwarancja) niewiele pomogła - skończył na złomowisku i razem z nim sończyły się problemy z siecią. Zakładając, że Twój switch nie jest kopnięty, port na którym będziesz miał wiele maców, szczególnie tych, które wyrzuca arpwatch, prosto po kabelku zaprowadzi Cię do dowcipnisia, który te śmieci generuje. -- Pozdrawiam Artur Jankowski ITservice -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: Bardzo dziwny ruch w sieci
Hello Marcin, Wednesday, May 30, 2007, 9:07:18 AM, you wrote: [..] MO - pozbierać od userów adresy MAC i zrobić statyczne mapowanie zamiast MOARP (ale to pomoże tylko w jedną stronę - cwaniak nie podszyje się MOefektywnie pod usera, ale pod serwer nadal będzie mógł) pod usera rowniez bedzie mogl - efekt wpisania takiego samego maca w 2 pc = rwane pingi, czasem z dlugim czasem, ktory wiecej gada temu 'lepiej dziala' (switch wysyla pakiet tylko do tego kompa, ktory ostatni sie odezwal) MO - spróbować namierzyć cwaniaka na zasadzie wypinania kabelków jedyny skuteczny sposob w urynolanie ;) po znalezieniu wlasciwego syfiacego kabelka wypiac go, po czym zapukac do klienta, zapytac czy nie wie co sie dzieje z siecia i.. koniecznie zrobic zdjecie :) [..] -- Best regards, Marekmailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Bardzo dziwny ruch w sieci
- pozbierać od userów adresy MAC i zrobić statyczne mapowanie zamiast ARP (ale to pomoże tylko w jedną stronę - cwaniak nie podszyje się efektywnie pod usera, ale pod serwer nadal będzie mógł) Wpisałem statycznie do serwerka wszystkie macki (ustawiłem poleceniem arp) i dalej jest to samo - cały ruch sie blokuje Czy istnieje jakiś sposób na namierzenie tego ruchu? Oczywiscie oprócz wypinania kabelków bo troche daleko mam do tej szafy (inne miasto) i jak dojade to pewnie ruch sie skończy... A czy możliwe jest ze jakieś urządzenie jest uszkodzone ? Sieciówka lub hub,switch? Jacek
Bardzo dziwny ruch w sieci
Witam grupowiczów Od pewnego czasu pojawia mi się bardzo dziwny ruch w sieci lokalnej. Głównie rozpoznać go można po tym że niektórym użytkownikom nagle komunikacja spada do zera, pingi działają raz na 1000, i przestaje oczywiscie chodzić internet... W logach zostaje mi bardzo dużo wpisów o zmieniających sie arpach ( kawałek sysloga na koncu wiadomosci). Udało mi się podczas takiej sytuacji zrzucić też do pliku wynik tcpdump-a - ewentualnie równie moge podesłac. Spotkał się ktoś z takim dziwadłem?? Jak napisałem wcześniej dla zainteresowanych dostępny też tcpdump... Dodam jeszcze ze po kilku minutach / godzinach czasem wszystko wraca do normy... Niestety serwer obsluguje zdalnie i niemam pojęcia jak to ugryść... Wycinek sysloga (dla porządku - podsiec 10.0.37.0/24, serwer 10.0.37.1 - niagara.priv): May 29 21:11:26 niagara arpwatch: changed ethernet address 10.0.37.2 2e:27:71:56:7d:7a (0:30:4f:11:a9:6) eth1 May 29 21:11:30 niagara arpwatch: changed ethernet address 10.0.37.16 2e:50:8:4e:1e:37 (0:30:4f:26:cc:9) eth1 May 29 21:11:30 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:50:8:4e:1e:37) eth1 May 29 21:11:31 niagara arpwatch: changed ethernet address 10.0.37.16 2e:7a:4e:2c:46:47 (0:30:4f:26:cc:9) eth1 May 29 21:11:31 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:7a:4e:2c:46:47) eth1 May 29 21:11:32 niagara arpwatch: changed ethernet address 10.0.37.16 2e:23:13:a:6f:56 (0:30:4f:26:cc:9) eth1 May 29 21:11:32 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:23:13:a:6f:56) eth1 May 29 21:11:33 niagara arpwatch: changed ethernet address 10.0.37.16 2e:4e:59:68:17:66 (0:30:4f:26:cc:9) eth1 May 29 21:11:33 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:4e:59:68:17:66) eth1 May 29 21:11:34 niagara arpwatch: changed ethernet address 10.0.37.16 2e:78:1f:46:3f:75 (0:30:4f:26:cc:9) eth1 May 29 21:11:34 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:78:1f:46:3f:75) eth1 May 29 21:11:35 niagara arpwatch: changed ethernet address 10.0.37.16 2e:21:65:24:67:4 (0:30:4f:26:cc:9) eth1 May 29 21:11:35 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:21:65:24:67:4) eth1 May 29 21:11:36 niagara arpwatch: changed ethernet address 10.0.37.28 2e:4b:2b:2:f:13 (0:2:44:7c:14:f9) eth1 May 29 21:11:36 niagara arpwatch: changed ethernet address 10.0.37.16 2e:4b:2b:2:f:13 (0:30:4f:26:cc:9) eth1 May 29 21:11:36 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:4b:2b:2:f:13) eth1 May 29 21:11:37 niagara arpwatch: changed ethernet address 10.0.37.16 2e:76:71:60:38:23 (0:30:4f:26:cc:9) eth1 May 29 21:11:37 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:76:71:60:38:23) eth1 May 29 21:11:38 niagara arpwatch: changed ethernet address 10.0.37.28 2e:76:71:60:38:23 (2e:4b:2b:2:f:13) eth1 May 29 21:11:38 niagara arpwatch: changed ethernet address 10.0.37.25 2e:76:71:60:38:23 (0:2:44:8b:d8:dd) eth1 May 29 21:11:38 niagara arpwatch: changed ethernet address 10.0.37.16 2e:1f:36:3e:60:32 (0:30:4f:26:cc:9) eth1 May 29 21:11:38 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:1f:36:3e:60:32) eth1 May 29 21:11:39 niagara named[2036]: refused query on non-query socket from [87.16.180.213].4672 May 29 21:11:39 niagara arpwatch: changed ethernet address 10.0.37.16 2e:49:7c:1c:8:42 (0:30:4f:26:cc:9) eth1 May 29 21:11:39 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:49:7c:1c:8:42) eth1 May 29 21:11:40 niagara arpwatch: changed ethernet address 10.0.37.28 2e:49:7c:1c:8:42 (2e:76:71:60:38:23) eth1 May 29 21:11:40 niagara arpwatch: changed ethernet address 10.0.37.25 2e:49:7c:1c:8:42 (2e:76:71:60:38:23) eth1 May 29 21:11:40 niagara arpwatch: changed ethernet address 10.0.37.20 2e:49:7c:1c:8:42 (0:11:9:5f:f:a4) eth1 May 29 21:11:40 niagara arpwatch: changed ethernet address 10.0.37.16 2e:74:42:7a:31:51 (0:30:4f:26:cc:9) eth1 May 29 21:11:40 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:74:42:7a:31:51) eth1 May 29 21:11:41 niagara arpwatch: changed ethernet address 10.0.37.16 2e:1d:7:58:59:60 (0:30:4f:26:cc:9) eth1 May 29 21:11:41 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:1d:7:58:59:60) eth1 May 29 21:11:41 niagara arpwatch: changed ethernet address 10.0.37.16 2e:1d:7:58:59:60 (0:30:4f:26:cc:9) eth1 May 29 21:11:41 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:1d:7:58:59:60) eth1 May 29 21:11:42 niagara arpwatch: changed ethernet address 10.0.37.16 2e:47:4d:36:1:70 (0:30:4f:26:cc:9) eth1 May 29 21:11:42 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:47:4d:36:1:70) eth1 May 29 21:11:42 niagara named[2036]: refused query on non-query socket from [121.230.158.173].6657 May 29 21:11:43 niagara arpwatch: changed ethernet address 10.0.37.16 2e:72:13:14:2a:7f (0:30:4f:26:cc:9) eth1 May 29 21:11:43 niagara arpwatch: flip flop 10.0.37.16 0:30:4f:26:cc:9 (2e:72:13:14:2a:7f) eth1 May 29 21:11:44 niagara arpwatch: changed ethernet address 10.0.37.16 2e:1b:59:72:52:e (0:30:4f:26:cc:9) eth1 May 29 21:11