Ищем нелегалов в сети или как я починял сетку

shaman	# 11 лет, 5 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	Всем прив :) есть сетка, общага, есть два серва, они раздают инет, можно было сделать один, но с мультилинком не срослось, поэтому их два. по договору на каждый, с маршрутизацией работать некогда было, все нужно было вчера :). дхцп раздает адреса, в зависимости от мака клиент получит тот или иной шлюз. на обоих сервах нат с фильтрацией по айпи и маку. в штатном режиме все работает. в выходные уже второй месяц начинается хрень. проявляется как неработоспособность дхцп (очень большая задержка ответов от серва и как следствие отличия в xid, в результате чего клиент отвергает ответы дхцп. и не может получить адрес), сканер с клиента до серва проваливает arp тесты. те имеем нарушение связи на канальном уровне. но что интересно, на сетевом уровне пакеты бегают без проблем, правда с большими пингами. те кто успевают получить адрес имеют даже доступ к инету, с большими пингами. отключение сегментов показало что может быть два кольца, причем не физических. те это не кабель из порта в порт одного свича, тк неисправность проявляется спустя некоторое время после включения бажных сегментов. есть предположение что кто-то пытается на халяву раздать инет соседу по вайфай, и каким-то непостижимым образом настроил мосты на компах, и кольцо получилось через вайфай. тк из-за непредсказуемого вайфая традиционными методами решить проблему не получается, пытаюсь проверить предположение. ищу в сети раздающих инет. с натом более менее понятно, смотрим ttl. с прокси пока нелады, думаю как лучше их сканировать. родил такую херь: tcpdump -t -ttt -n -nn -vvv -l -i eth0 ether src ! 00:20:ed:2a:26:c1 and ether dst ! 00:20:ed:2a:26:c1 and net ! 192.168.0.0/16 and ! ip6 and ether src ! 00:0d:61:a7:1d:44 and ether dst ! 00:0d:61:a7:1d:44 здесь маки легальных сервов. логика простая, фильтрую трафик который ходит не к моим сервам и не от них и не локальный трафик. если у кого-то в сети шлюз по умолчанию не мой серв, то dst фрейма будет не мой серв. а ip пакета будет не локальный. пока поймал широковещательные запросы дхцп. жду вашей критики и самое главное советов, как решить проблему. зы не факт что предположение верно. :) ззы пока не забыл, про архитектуру сети пару слов. Сетку до меня строили уже три админа, каждый что-то свое делал. свичи неуправляемые, вместо тех облаков на картинке, куча компов меж собой не соединенных. сетка запущена ужасно, со следующего года хочу собрать финансы, снести все нахрен и построить сеть на управляемых свичах, по одному-два порта на комнату, если кому три хвоста надо, в комнате свич поставят. в 542, 437, 334, 333 24-х портовые свичи, остальное мелочь 5-8 портов

# 11 лет, 5 месяцев назад

Сообщения: 379

Участник с: 13 декабря 2009

Всем прив :)
есть сетка, общага, есть два серва, они раздают инет, можно было сделать один, но с мультилинком не срослось, поэтому их два. по договору на каждый, с маршрутизацией работать некогда было, все нужно было вчера :). дхцп раздает адреса, в зависимости от мака клиент получит тот или иной шлюз. на обоих сервах нат с фильтрацией по айпи и маку. в штатном режиме все работает. в выходные уже второй месяц начинается хрень. проявляется как неработоспособность дхцп (очень большая задержка ответов от серва и как следствие отличия в xid, в результате чего клиент отвергает ответы дхцп. и не может получить адрес), сканер с клиента до серва проваливает arp тесты. те имеем нарушение связи на канальном уровне. но что интересно, на сетевом уровне пакеты бегают без проблем, правда с большими пингами. те кто успевают получить адрес имеют даже доступ к инету, с большими пингами. отключение сегментов показало что может быть два кольца, причем не физических. те это не кабель из порта в порт одного свича, тк неисправность проявляется спустя некоторое время после включения бажных сегментов. есть предположение что кто-то пытается на халяву раздать инет соседу по вайфай, и каким-то непостижимым образом настроил мосты на компах, и кольцо получилось через вайфай.
тк из-за непредсказуемого вайфая традиционными методами решить проблему не получается, пытаюсь проверить предположение. ищу в сети раздающих инет. с натом более менее понятно, смотрим ttl. с прокси пока нелады, думаю как лучше их сканировать. родил такую херь:

tcpdump -t -ttt -n -nn -vvv -l -i eth0 ether src ! 00:20:ed:2a:26:c1 and ether dst ! 00:20:ed:2a:26:c1 and net ! 192.168.0.0/16 and ! ip6 and ether src ! 00:0d:61:a7:1d:44 and ether dst ! 00:0d:61:a7:1d:44

здесь маки легальных сервов. логика простая, фильтрую трафик который ходит не к моим сервам и не от них и не локальный трафик. если у кого-то в сети шлюз по умолчанию не мой серв, то dst фрейма будет не мой серв. а ip пакета будет не локальный. пока поймал широковещательные запросы дхцп.
жду вашей критики и самое главное советов, как решить проблему.
зы не факт что предположение верно. :)
ззы пока не забыл, про архитектуру сети пару слов.

Сетку до меня строили уже три админа, каждый что-то свое делал. свичи неуправляемые, вместо тех облаков на картинке, куча компов меж собой не соединенных. сетка запущена ужасно, со следующего года хочу собрать финансы, снести все нахрен и построить сеть на управляемых свичах, по одному-два порта на комнату, если кому три хвоста надо, в комнате свич поставят.
в 542, 437, 334, 333 24-х портовые свичи, остальное мелочь 5-8 портов

gard	# 11 лет, 5 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	А не может иметь место подмена мака? Оттого и тупняки dhcpd..

shaman	# 11 лет, 5 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	да запросто может быть, общага четвертого факультета каи, все поголовно “админы” и тд и тп. я не глядел что там с маками. те во время глюков отрубаем серв и смотрим наличие мака в сети так? щас этих глюков дождаться бы :) все в выходные начинается

shaman

# 11 лет, 5 месяцев назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

да запросто может быть, общага четвертого факультета каи, все поголовно “админы” и тд и тп.
я не глядел что там с маками. те во время глюков отрубаем серв и смотрим наличие мака в сети так?
щас этих глюков дождаться бы :) все в выходные начинается

gard	# 11 лет, 5 месяцев назад (отредактировано 11 лет, 5 месяцев назад)
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Какая то сложная команда для моего понимания =) Можно посмотреть arp-запросы во время глюков и может что там засветится.. то есть один мак и два ИП.. Можно на сервере очистить таблицу маков и посмотреть что происходит, также смотреть логи dhcpd во время краха.. Вот еще интересное что-то на эту тему: http://xgu.ru/wiki/ARP-spoofing#.D0.9C. … 0.B8.D1.8F

gard

# 11 лет, 5 месяцев назад (отредактировано 11 лет, 5 месяцев назад)

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

Какая то сложная команда для моего понимания =) Можно посмотреть arp-запросы во время глюков и может что там засветится.. то есть один мак и два ИП..

Можно на сервере очистить таблицу маков и посмотреть что происходит, также смотреть логи dhcpd во время краха.. Вот еще интересное что-то на эту тему: http://xgu.ru/wiki/ARP-spoofing#.D0.9C. … 0.B8.D1.8F

shaman	# 11 лет, 5 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	да делали все это уже :) логов на 6 МБ перечитали все норм, разве что задержки большие, ну или кое что может и не увидели :)

gard	# 11 лет, 5 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Вам бы конечно управляшки поставить и привязку по портам сделать, можно еще и разные виланы накрутить для разных этажей, чтобы изолировать коллизионные домены..

shaman	# 11 лет, 5 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	я так и хочу сделать :) денег нет :) на следующий год соберем, комендант добро дал уже :) кстати, как понять вот это: 192.168.1.68,212.124.8.93,71.186.0.0,0.8.0.0 128,0 это вывод tshark -i 1 -e ip.addr -e ip.ttl -Tfields -i eth0 ‘src net 192.168.0.0/16’ \| sed -e ‘/128$/d; /64$/d’

gard	# 11 лет, 5 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Похоже на то, что идет запрос с 192.168.1.68 на 212.124.8.93.. а что дальше я даже незнаю =) Вообще, если предволожить подмену мак-адреса, то надо бы посмотреть логи dhcpd и посмотреть leases в этот момент, то есть уже выданные арендные адреса, естественно, если адрес уже выдан с привязкой по маку, то попытка получить адрес в аренду от второго такого же мака провалится.. Всяко надо смотреть работу на канальном уровне.. Кстати, может конечно совет бредовый, но если локальная сеть получается такой вот недоверенной, то может стоит подумать над организацией например PPPoE сервера?

gard

# 11 лет, 5 месяцев назад

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

Похоже на то, что идет запрос с 192.168.1.68 на 212.124.8.93.. а что дальше я даже незнаю =) Вообще, если предволожить подмену мак-адреса, то надо бы посмотреть логи dhcpd и посмотреть leases в этот момент, то есть уже выданные арендные адреса, естественно, если адрес уже выдан с привязкой по маку, то попытка получить адрес в аренду от второго такого же мака провалится.. Всяко надо смотреть работу на канальном уровне..

Кстати, может конечно совет бредовый, но если локальная сеть получается такой вот недоверенной, то может стоит подумать над организацией например PPPoE сервера?

shaman	# 11 лет, 5 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	думаем уже, только со следующего года вуз обещался финансировать все это дело. там канал нормальный будет, серв один, на нем pppoe поднять, все похождения записывать базу и на отдельный винт, может райд сделаю. даже серв обещали ашпи пролиант старенький какой-то

shaman

# 11 лет, 5 месяцев назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

думаем уже, только со следующего года вуз обещался финансировать все это дело. там канал нормальный будет, серв один, на нем pppoe поднять, все похождения записывать базу и на отдельный винт, может райд сделаю. даже серв обещали ашпи пролиант старенький какой-то

gard	# 11 лет, 5 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Но сейчас виновника надо бы таки найти.. и наказать..