これは頭を傷つけます...内部研究室ネットワークに接続されたDebianスクイーズマシンがあります。基本的なプロキシ-arp設定を使用する多くのシステムがあり、時にはそのうちの1つが多くの研究室のアドレスを傍受し始めます。
ほとんどの研究室をダウンさせた最新のProxy-ARPイベントを解決した後/var/log/syslog(下)に、このようないくつかの残りの項目が見つかりました。ログを読むのに慣れていない人のために、その住所をarpwatch所有するシステムは、00:11:43:d2:68:65その住所を所有している人を置き、192.168.12.102と192.168.12.103と戦っています。
Sep 13 14:25:27 netwiki arpwatch: flip flop 192.168.12.103 00:11:43:d2:68:65 (84:2b:2b:4b:71:b4) eth0
Sep 13 14:26:24 netwiki arpwatch: flip flop 192.168.12.103 84:2b:2b:4b:71:b4 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:26:b9:4e:d3:71 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:11:43:d2:68:65 (00:26:b9:4e:d3:71) eth0
とても心配です。このコンピュータは、私が実行しているのと同じコンピュータに00:11:43:d2:68:65属しています。まずそれが。arpwatch/proc/sys/net/ipv4/conf/eth0/proxy_arp0tshark
[mpenning@netwiki ~]$ ip addr show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:11:43:d2:68:65 brd ff:ff:ff:ff:ff:ff
inet 192.168.12.239/24 brd 192.168.12.255 scope global eth0
inet6 fe80::211:43ff:fed2:6865/64 scope link
valid_lft forever preferred_lft forever
[mpenning@netwiki ~]$
[mpenning@netwiki ~]$ arp -an
? (192.168.12.46) at 00:15:c5:f5:81:9d [ether] on eth0
? (192.168.12.236) at 00:1e:c9:cd:46:c8 [ether] on eth0
? (10.211.180.1) at 00:1e:49:11:fe:47 [ether] on eth1
? (192.168.12.20) at f0:4d:a2:02:81:66 [ether] on eth0
[mpenning@netwiki ~]$ cat /proc/sys/net/ipv4/conf/eth0/proxy_arp
0
[mpenning@netwiki ~]$ sudo tshark -i eth0 arp and ether src 00:11:43:d2:68:65
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 Dell_d2:68:65 -> Dell_02:81:66 ARP 192.168.12.102 is at 00:11:43:d2:68:65
84.954989 Dell_d2:68:65 -> Dell_f5:81:9d ARP 192.168.12.103 is at 00:11:43:d2:68:65
[mpenning@netwiki ~]$ uname -a
Linux netwiki 2.6.32-5-amd64 #1 SMP Tue Jun 14 09:42:28 UTC 2011 x86_64 GNU/Linux
[mpenning@netwiki ~]$
事実は否定できません。私はDebianボックスを持っていますが、ARPをなりすましますが、その理由はわかりません。私はこのマシンの唯一のユーザーであり、fail2ban無差別代入攻撃を防ぐためにこのマシンを実行しています。ハッキングされた可能性が非常に高いです。
3つの質問...
- まず、私がこれを逃した理由はありますか?これがアプリケーションの問題かカーネルの問題であるかを確認するには、どの手順を使用する必要がありますか?
- これがカーネルのバグであれば、どのメーリングリストに報告する必要がありますか?参考のための一般的な条件です。kernel.org バグ報告ツール今は落ちているようです。
- パッチを待つ以外に、この問題を解決する方法はありますか?
答え1
私は問題を見つけました...数週間前、私はプロキシ-arpがバックアップイーサネットインターフェイスでどのように機能するかを実演していました(インターフェイスがダウンしているにもかかわらず)、システムの設定を維持しました。
192.168.12.0/24からこれらのアイテムを削除すると、eth2もはや問題は発生しません。
[mpenning@netwiki ~]$ ip add show eth2
4: eth2: <BROADCAST,MULTICAST,PROMISC> mtu 1500 qdisc mq state DOWN qlen 1000
link/ether 00:10:18:02:32:86 brd ff:ff:ff:ff:ff:ff
inet 192.168.12.100/24 scope global eth2
inet 192.168.1.100/24 scope global eth2
inet 192.168.12.101/24 scope global secondary eth2
inet 192.168.12.102/24 scope global secondary eth2
inet 192.168.12.103/24 scope global secondary eth2
inet 192.168.12.104/24 scope global secondary eth2
inet 192.168.12.105/24 scope global secondary eth2
[mpenning@netwiki ~]$
私はまだこれがバグであり、提出されるべきだと思います。完了したら、エラーメッセージを更新します。