kernel: arp: <mac> is using my IP address 192.168.100.1

[burn]

Сабж.
Сразу все обваливается. инет за натом перестает работать.
Что делать?
причем фишка в том, что:
# arp -a > arp.list
#cat arp.list | grep <mac>
ничего не находит!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

искать урода, руки оторвать и ему же в задницу воткнуть.

[burn]

искать урода, руки оторвать и ему же в задницу воткнуть.

пока безуспешно, еще предложения?

[Alex Keda]

лучше искать, отрывать медленно, втыкать тоже ))

[dikens3]

Сабж.
Сразу все обваливается. инет за натом перестает работать.
Что делать?
причем фишка в том, что:
# arp -a > arp.list
#cat arp.list | grep <mac>
ничего не находит!

arpwatch должен помочь.

[burn]

arpwatch должен помочь.

собрал, поставил. как пользоваться и настроить не понял...((

[dikens3]

Я не знаю как он будет действовать в случае атаки на него самого, а работает он примерно так:

Собирает (и отправляет на E-Mail) информацию обо всех сочетаниях IP<>MAC
Для новых MAC - говорит что обнаружен новый MAC адрес с таким-то IP-Адресом.
Для изменённых - сообщает что раньше был такой-то MAC<>IP, а сейчас стал такой-то.

[burn]

Я не знаю как он будет действовать в случае атаки на него самого, а работает он примерно так:

Собирает (и отправляет на E-Mail) информацию обо всех сочетаниях IP<>MAC
Для новых MAC - говорит что обнаружен новый MAC адрес с таким-то IP-Адресом.
Для изменённых - сообщает что раньше был такой-то MAC<>IP, а сейчас стал такой-то.

а как его запустить-то и сконфигурировать?

[dikens3]

А я помню?

[Alex Keda]

однако да, статьи по нему на сайте-то и нет...

[hizel]

зачем статья

Код: Выделить всё

portinstall arpwatch
echo 'arpwatch_enable="YES"' >> /etc/rc.conf
/usr/local/etc/rc.d/arpwatch start

и в почту рута или куда оно салиасино приходят письмища вида

Код: Выделить всё

  hostname: <unknown>
          ip address: 10.30.0.138
    ethernet address: 0:17:9a:75:98:e0
     ethernet vendor: D-Link Corporation
old ethernet address: 0:d:88:a0:be:45
 old ethernet vendor: D-Link Corporation
           timestamp: Friday, August 17, 2007 4:55:27 +0400
  previous timestamp: Friday, August 17, 2007 4:55:27 +0400
               delta: 0 seconds

от arpwatch@

[burn]

echo а не cat

[burn]

история повторилась, я в панике. помогите! может есть кардинальное решение?

[schizoid]

и что? арпвотч не помог?
мне помогает. с его помощью вычисляю мак. затем по базе арпа, вычисляю ИП, потом nbtscan в руки - узнаю имя машины, ну а потом уже пальцы в двери юзьверю...

[Alex Keda]

советую запстить его на другой машине в той же локалке

[burn]

запустил арп. увидел следующее:
в определенный момент времени, появляется новый МАК, заменяет 192.168.100.1 и через несколько минут пропадает, как будто и не было его. и нигде не фигурирует. что делать? какое оборудование покупать?

[rage]

Из дорогих решений пользователей ценпять на свичи с привязкой ip - mac на порту

Если используется какая нить vmare вычислить будет сложно, да и ручками мак поменять труда не состовляет.

[bams]

Доброго времени суток! Вот возникла необходимость заменить шлюз под дебианом на шлюз под фрей и при пробном взлете напоролся на точно такую же проблему. Каждые 15 минут появляется сообщение что такой-то мак использует мой айпи адрес, при этом сетка отваливается. А шлюз под дебианом работает как вкопанный. Подскажите плиз, куда ткнуться где покрутить.