eth0은 프록시 arping이지만 /proc/sys/net/ipv4/conf/eth0/proxy_arp는 0입니다.

eth0은 프록시 arping이지만 /proc/sys/net/ipv4/conf/eth0/proxy_arp는 0입니다.

이것 때문에 머리를 긁적이네요... 내부 연구실 네트워크에 연결된 데비안 스퀴즈 머신이 있습니다. 기본 프록시-arp 구성을 사용하는 많은 시스템이 있으며 때로는 그 중 하나가 많은 연구실 주소를 가로채기 시작합니다.

대부분의 연구실을 다운시킨 최신 Proxy-ARP 사건을 해결한 후 /var/log/syslog(아래)에서 이와 같은 몇 가지 잔여 항목을 발견했습니다. 로그를 읽는 데 익숙하지 않은 사람들을 위해 arpwatch해당 주소를 소유한 시스템은 00:11:43:d2:68:65해당 주소를 소유한 사람을 놓고 192.168.12.102 및 192.168.12.103과 싸우고 있습니다.

Sep 13 14:25:27 netwiki arpwatch: flip flop 192.168.12.103 00:11:43:d2:68:65 (84:2b:2b:4b:71:b4) eth0
Sep 13 14:26:24 netwiki arpwatch: flip flop 192.168.12.103 84:2b:2b:4b:71:b4 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:26:b9:4e:d3:71 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:11:43:d2:68:65 (00:26:b9:4e:d3:71) eth0

매우 걱정스럽습니다. 이 컴퓨터는 제가 실행 중인 것과 동일한 컴퓨터 00:11:43:d2:68:65에 속해 있습니다 . 먼저 그것이 .arpwatch/proc/sys/net/ipv4/conf/eth0/proxy_arp0tshark

[mpenning@netwiki ~]$ ip addr show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:11:43:d2:68:65 brd ff:ff:ff:ff:ff:ff
    inet 192.168.12.239/24 brd 192.168.12.255 scope global eth0
    inet6 fe80::211:43ff:fed2:6865/64 scope link
       valid_lft forever preferred_lft forever
[mpenning@netwiki ~]$
[mpenning@netwiki ~]$ arp -an
? (192.168.12.46) at 00:15:c5:f5:81:9d [ether] on eth0
? (192.168.12.236) at 00:1e:c9:cd:46:c8 [ether] on eth0
? (10.211.180.1) at 00:1e:49:11:fe:47 [ether] on eth1
? (192.168.12.20) at f0:4d:a2:02:81:66 [ether] on eth0
[mpenning@netwiki ~]$ cat /proc/sys/net/ipv4/conf/eth0/proxy_arp
0
[mpenning@netwiki ~]$ sudo tshark -i eth0 arp and ether src 00:11:43:d2:68:65
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
  0.000000 Dell_d2:68:65 -> Dell_02:81:66 ARP 192.168.12.102 is at 00:11:43:d2:68:65
 84.954989 Dell_d2:68:65 -> Dell_f5:81:9d ARP 192.168.12.103 is at 00:11:43:d2:68:65
[mpenning@netwiki ~]$ uname -a
Linux netwiki 2.6.32-5-amd64 #1 SMP Tue Jun 14 09:42:28 UTC 2011 x86_64 GNU/Linux
[mpenning@netwiki ~]$

사실은 부인할 수 없습니다. 나는 데비안 상자를 가지고 있는데 ARP를 스푸핑하지만 그 이유는 모르겠습니다. 나는 이 기계의 유일한 사용자이고, fail2ban무차별 대입 공격을 방지하기 위해 이 기계를 실행하고 있으며, 들어가려면 배지가 필요한 문 뒤에 있는 내부 실험실 네트워크에 있습니다. 해킹을 당했을 가능성이 매우 높습니다.

세 가지 질문...

  1. 첫째, 내가 이것을 놓친 이유가 있습니까? 이것이 응용 프로그램 문제인지 커널 문제인지 확인하려면 어떤 단계를 사용해야 합니까?
  2. 이것이 커널 버그라면 어느 메일링 리스트에 보고해야 합니까? 참고용으로 일반적인 조건입니다.kernel.org 버그 보고 도구지금은 떨어진 것 같습니다.
  3. 패치를 기다리는 것 외에 이 문제를 해결할 수 있는 방법이 있나요?

답변1

나는 문제를 알아냈습니다... 몇 주 전에 나는 프록시-arp가 백업 이더넷 인터페이스에서 어떻게 작동하는지 시연하고 있었고 (인터페이스가 다운되었음에도 불구하고) 시스템의 구성을 유지했습니다.

192.168.12.0/24에서 이러한 항목을 제거하면 eth2더 이상 문제가 발생하지 않습니다.

[mpenning@netwiki ~]$ ip add show eth2
4: eth2: <BROADCAST,MULTICAST,PROMISC> mtu 1500 qdisc mq state DOWN qlen 1000
    link/ether 00:10:18:02:32:86 brd ff:ff:ff:ff:ff:ff
    inet 192.168.12.100/24 scope global eth2
    inet 192.168.1.100/24 scope global eth2
    inet 192.168.12.101/24 scope global secondary eth2
    inet 192.168.12.102/24 scope global secondary eth2
    inet 192.168.12.103/24 scope global secondary eth2
    inet 192.168.12.104/24 scope global secondary eth2
    inet 192.168.12.105/24 scope global secondary eth2
[mpenning@netwiki ~]$

나는 여전히 이것이 버그이며 제출되어야 한다고 생각합니다. 완료되면 오류 메시지를 업데이트하겠습니다.

관련 정보