martian source

Все об операционной системе следующего поколения, разработанной Allied Telesis

Модератор: Allied Telesis Russia

martian source

Сообщение Максим » 24 июн 2008, 18:18

AT SB x908, AW+ 5.2.1-0.5

Есть вот такое сообщение от x908:

2008 Jun 24 19:15:15 user.warning central kernel: martian source 192.168.4.49 from 192.168.4.1, on dev vlan17

Отчего ОС думает, что пакет марсианский, хотя на интерфейс накручены:
interface vlan17
ip address 80.251.x.x/28
ip address 192.168.4.1/23 secondary
ip address 192.168.30.1/23 secondary
ip address 192.168.125.5/30 secondary
Максим
 

Сообщение Ginodman Mikhail » 25 июн 2008, 09:38

присылайте на support@alliedtelesyn.ru вывод sh tech, также описание в какие периоды времени это происходит и как часто/долго
Ginodman Mikhail
Site Admin
 
Сообщения: 2532
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Сообщение Максим » 25 июн 2008, 10:03

Не смогу прислать, потому что команда sh tech привела к тому, что около 2 мин. свитч писал в файл, потом завис, оставив всю сеть неработоспособной. Больше сейчас я так рисковать не могу.
Так же свитч повис, когда я изменял названия действующего и резервного софта.
Максим
 

Сообщение Ginodman Mikhail » 25 июн 2008, 10:17

тогда поясните коммутатор нормально пропускает пакеты от 192.168.4.49? также желательно увидеть полный лог sh log, так как ядро показывает еще и L2 header после таких сообщений
Ginodman Mikhail
Site Admin
 
Сообщения: 2532
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Сообщение Максим » 25 июн 2008, 11:39

Да, лог смогу чуть позже отправить. А почему 192.168.4.49 не должен нормально пройти? Ведь 192.168.4.1/23 тоже накручен на интерфейс. Все ок, работать-работает, но в логи это пишет.
Максим
 

Сообщение Ginodman Mikhail » 26 июн 2008, 08:04

вот ваши логи
Jun 18 04:02:40 192.168.0.5 kernel: martian source 192.168.4.49 from 192.168.4.1, on dev vlan17
Jun 18 04:02:40 192.168.0.5 kernel: ll header: ff:ff:ff:ff:ff:ff:00:00:cd:28:52:bb:08:06
Jun 18 04:02:42 192.168.0.5 kernel: martian source 192.168.4.62 from 192.168.4.1, on dev vlan17
Jun 18 04:02:42 192.168.0.5 kernel: ll header: ff:ff:ff:ff:ff:ff:00:00:cd:28:52:bb:08:06
Jun 18 04:02:48 192.168.0.5 kernel: martian source 192.168.4.11 from 192.168.4.1, on dev vlan17
Jun 18 04:02:48 192.168.0.5 kernel: ll header: ff:ff:ff:ff:ff:ff:00:00:cd:28:52:bb:08:06

видно что источник ARP пакета сам свитч МАС 00:00:cd:28:52:bb, почему такой пакет пришел на свитч непонятно, либо кольцо либо кто-то занимается ARP spoofingом
http://forum.alliedtelesis.ru/download.php?id=69
Ginodman Mikhail
Site Admin
 
Сообщения: 2532
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Сообщение Максим » 26 июн 2008, 10:01

Не могли бы вы объяснить логику процесса? Мы видем в логах, что из 17-ом влана пришел ARP'пакет, в котором в качестве источника указан (умышленно?) сам центральный свитч, но при этом адресом в источнике пакета записан некий иной IP, так? А что значат записи llheader?

ПС: письма до вас режектятся
Код: Выделить всё
 Mikhail_Ginodman@alliedtelesyn.ru
    SMTP error from remote mail server after end of data:
    host cluster6.us.messagelabs.com [216.82.249.99]:
    553-Message filtered. Please see the FAQs section on spam
    553-at http://www.messagelabs.com/support/ for more
    553 information. (#5.7.1)
.
Прошелся по основным блеклистам, не нашел там своего smtp-сервера.
Максим
 

Сообщение Максим » 26 июн 2008, 10:29

Михаил, сейчас получил от вас еще одно письмо тоже с адреса Mikhail_Ginodman@alliedtelesyn.ru, поэтому и ответ на него опять не удался.
Максим
 

Сообщение Максим » 26 июн 2008, 10:35

На mikhail_ginodman@alliedtelesis.com то же самое. Не могли бы вы написать какие блеклисты используются, я целенаправленно пошел бы вытаскивать свои сервера оттуда?
Максим
 

Сообщение Ginodman Mikhail » 26 июн 2008, 10:44

Максим писал(а):Не могли бы вы объяснить логику процесса? Мы видем в логах, что из 17-ом влана пришел ARP'пакет, в котором в качестве источника указан (умышленно?) сам центральный свитч, но при этом адресом в источнике пакета записан некий иной IP, так? А что значат записи llheader?

1
Да все так, умышленно или какой-то кривой софт стоит на пк
2
Это сообщения ядра Linux, ll header - полагаю link level header

думаю это также полезно
http://baud123.free.fr/eagle/Mars_Attacks.txt
Ginodman Mikhail
Site Admin
 
Сообщения: 2532
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow


Вернуться в Многозадачная OC AlliedWare Plus

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1