-
Junior Member
- Вес репутации
- 48
Конфликт IP
Есть сервер администрирования Kaspersky Administration kit, с одной сетевой картой мак-адресом 00:0A:5E:20:B3:13
Проблема в следующем
Сервер периодически пропадает из сети, выходит конфликт адресов
Анализ показал, такую странную вещь:
00:0A:E9:33:31:7D 8.2.11 4:51
00:11:5E:20:B3:13 8.2.11 1:01
80:11:5E:20:B3:13 8.2.11 1:01
00:0A:00:00:B3:13 8.2.11 0:43
00:1D:01:80:C2:00 7.2.11 21:14
00:1D:5E:20:B3:13 7.2.11 21:14
00:32:5E:20:B3:13 7.2.11 13:35
39:32:5E:20:B3:13 7.2.11 13:35
странность в том что, в сети таких маков нету, но есть здесь закономерность:
00:0A:5E:20:B3:13 реальный
00:11:5E:20:B3:13
80:11:5E:20:B3:13
00:0A:00:00:B3:13
00:1D:5E:20:B3:13
00:32:5E:20:B3:13
39:32:5E:20:B3:13
что может быть?
Последние 2 дня сижу с ARP-Monitor-ом и вижу такую картину
10.02.2011 12:28:06 Network scanning Host 192.168.53.22 (MAC: 00-1C-C0-77-E7-62) generated 109 requests.
10.02.2011 12:28:08 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-77-62) didn`t match the address inside the arp packet(BC-AE-C5-02-77-62).
10.02.2011 12:28:08 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-77-62) didn`t match the address inside the arp packet(BC-AE-C5-02-77-62).
10.02.2011 12:28:08 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-77-62) didn`t match the address inside the arp packet(BC-AE-C5-02-77-62).
10.02.2011 12:28:08 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-77-62) didn`t match the address inside the arp packet(BC-AE-C5-02-77-62).
10.02.2011 12:28:08 Ethernet mismatch The source mac ethernet address(BC-AE-C0-77-E7-62) didn`t match the address inside the arp packet(00-00-C0-77-B3-00).
10.02.2011 12:28:09 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-74-8F) didn`t match the address inside the arp packet(00-3A-C5-02-74-8F).
10.02.2011 12:28:09 Changed ethernet address 192.168.12.109 from BC-AE-C5-02-74-8F to 00-3A-C5-02-74-8F
10.02.2011 12:28:09 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-74-8F) didn`t match the address inside the arp packet(00-3A-C5-02-74-8F).
10.02.2011 12:28:09 Reused old ethernet address 192.168.12.109, hwaddr: 00-3A-C5-02-74-8F
10.02.2011 12:28:09 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-74-8F) didn`t match the address inside the arp packet(00-3A-C5-02-74-8F).
10.02.2011 12:28:09 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-74-8F) didn`t match the address inside the arp packet(BC-3A-C5-02-74-8F).
10.02.2011 12:28:09 Changed ethernet address 192.168.12.109 from 00-3A-C5-02-74-8F to BC-3A-C5-02-74-8F
10.02.2011 12:28:09 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-74-8F) didn`t match the address inside the arp packet(00-3A-C5-02-74-8F).
10.02.2011 12:28:09 Reused old ethernet address 192.168.12.109, hwaddr: 00-3A-C5-02-74-8F
10.02.2011 12:28:09 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-74-8F) didn`t match the address inside the arp packet(00-3A-C5-02-74-8F).
10.02.2011 12:28:09 Ethernet mismatch The source mac ethernet address(BC-AE-C2-02-74-8F) didn`t match the address inside the arp packet(00-3A-C5-02-74-8F).
10.02.2011 12:28:11 Reused old ethernet address 192.168.12.109, hwaddr: BC-AE-C5-02-74-8F
каждый компьютер в сети выходит в конфликт таким образом
если это вирус, то какой вирус так может делать
если это умышленная атака как и чем можно вызвать такую атаку
как определить?
искать физически неудобно, в сети больше 2500 машин
адресация в сети 192.168.0.0/16
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Подобная картина наблюдается если в сети есть снифер Give Me Too . Снифер убирается и все встает на свои места. Ну возможно конечно что и присутствует какой либо зверек.
-
-
Сообщение от
adilbek
Последние 2 дня сижу с ARP-Monitor-ом и вижу такую картину
А не подскажите, чисто для развития.
Что за программа выдает такой лог? Что за ARP-Monitor?
-
-
...причиняю добро и наношу непоправимую пользу...
-
-
Честно говоря,что такое ARP протокол я знаю.
И по ссылке не качается. Нашёл правда программу ARP Cahe Monitor v1.0 by ZLOB, но смысла в её использовании не вижу.
Поскольку использумая мной связка Cain&Abel с консольной (arp -g, arp -d *) на голову превосходят по функционалу.
К чему я собственна начал?
Интересовала программа которая выдает именно приведенный лог и способна эта делать за какой-то промежуток времени.
Это имеет смысл и такого функционала не хватает.
-