Jump to content
Калькуляторы

Завладевают моим ip kerne: is using my IP address Завладевают ip роняют сервер

Доброго времени суток.

Друзья, пожалуйста, помогите решить проблему. FreeBSD 8.0-RELEASE-p1 то же самое было и в 7.2.

Jan 11 01:06:22 hs kernel: arp: ip_злоумышленника moved from тут_его_mac to 90:e6:ba:ba:57:01 on rl0
Jan 11 01:20:59 hs kernel: arp: 90:e6:ba:ba:57:01 is using my IP address тут_мой_ip on rl0!
Jan 11 01:20:59 hs kernel: arp: 90:e6:ba:ba:57:01 is using my IP address тут_мой_ip on rl0!

Как видно из логов в 01.06 он меняет mac адрес. В 01.20 завладевает моим ip. Интерфейс rl0 ложится.

Для всего этого никакого взлома то не надо, просто поменять mac адрес и прописать ip жертвы. Если то же самое проделать, например с Windows, там просто выскакивает табличка конфликт IP, но все по-прежнему будет работать, пробовал с Lunux – Ubuntu то же самое, там просто в логах пишется о конфликте ip но всё продолжает работать, как ни в чём не бывало. Фряшка же сразу останавливает мне сетевой интерфейс отдав всё с потрохами. Ведь просекли и теперь проделывают это периодически, роняя мне сервер. Вот собственно и вопрос. Как сделать так чтобы FreeBSD не обращал тоже на это внимание. Или может скрипт какой, чтобы сразу обратно сетевой интерфейс поднимал. Да вот такая у нас дикая сеть, а что делать и нужно как-то выходить из положения. Ведь наверняка должна же быть какая-то настройка. Друзья вся надежда только на вас, выручайте.

Share this post


Link to post
Share on other sites

Надо избавлятся не от последствий, а от причины! Какое железо стоит перед сервером (свичи)? В договоре как-то упоминается возможность смены мака/ип пользователем и санкции? У нас раньше такое было, лечили ип-мак-биндинг на свичах до сервера на время поездки до клиента+отлучение от сети без предупреждения, в договоре все написано. А если это вирусня забавляется, то это проблемы клиента, и лечить их должен клиент.

Share this post


Link to post
Share on other sites

Прибить железно свой мак к ип в локальной таблице, сделать обновление по чаще через sysctl.conf

net.link.ether.inet.max_age=120 # ARP life time, def 1200

 

Можно ещё ип виновника прибить у себя к маку и за фильтровать от него арпы (практической реализации в правилах не видел).

Share this post


Link to post
Share on other sites

Ввести интерфейс управления сервером в отдельный вилан.

Share this post


Link to post
Share on other sites

причем тут отдельный вилан, если роняют интерфейс смотрящий в сторону юзеров? :)

привязка мак-айпи на свитчах поможет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this