이것 때문에 머리를 긁적이네요... 내부 연구실 네트워크에 연결된 데비안 스퀴즈 머신이 있습니다. 기본 프록시-arp 구성을 사용하는 많은 시스템이 있으며 때로는 그 중 하나가 많은 연구실 주소를 가로채기 시작합니다.
대부분의 연구실을 다운시킨 최신 Proxy-ARP 사건을 해결한 후 /var/log/syslog
(아래)에서 이와 같은 몇 가지 잔여 항목을 발견했습니다. 로그를 읽는 데 익숙하지 않은 사람들을 위해 arpwatch
해당 주소를 소유한 시스템은 00:11:43:d2:68:65
해당 주소를 소유한 사람을 놓고 192.168.12.102 및 192.168.12.103과 싸우고 있습니다.
Sep 13 14:25:27 netwiki arpwatch: flip flop 192.168.12.103 00:11:43:d2:68:65 (84:2b:2b:4b:71:b4) eth0
Sep 13 14:26:24 netwiki arpwatch: flip flop 192.168.12.103 84:2b:2b:4b:71:b4 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:26:b9:4e:d3:71 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:11:43:d2:68:65 (00:26:b9:4e:d3:71) eth0
매우 걱정스럽습니다. 이 컴퓨터는 제가 실행 중인 것과 동일한 컴퓨터 00:11:43:d2:68:65
에 속해 있습니다 . 먼저 그것이 .arpwatch
/proc/sys/net/ipv4/conf/eth0/proxy_arp
0
tshark
[mpenning@netwiki ~]$ ip addr show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:11:43:d2:68:65 brd ff:ff:ff:ff:ff:ff
inet 192.168.12.239/24 brd 192.168.12.255 scope global eth0
inet6 fe80::211:43ff:fed2:6865/64 scope link
valid_lft forever preferred_lft forever
[mpenning@netwiki ~]$
[mpenning@netwiki ~]$ arp -an
? (192.168.12.46) at 00:15:c5:f5:81:9d [ether] on eth0
? (192.168.12.236) at 00:1e:c9:cd:46:c8 [ether] on eth0
? (10.211.180.1) at 00:1e:49:11:fe:47 [ether] on eth1
? (192.168.12.20) at f0:4d:a2:02:81:66 [ether] on eth0
[mpenning@netwiki ~]$ cat /proc/sys/net/ipv4/conf/eth0/proxy_arp
0
[mpenning@netwiki ~]$ sudo tshark -i eth0 arp and ether src 00:11:43:d2:68:65
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 Dell_d2:68:65 -> Dell_02:81:66 ARP 192.168.12.102 is at 00:11:43:d2:68:65
84.954989 Dell_d2:68:65 -> Dell_f5:81:9d ARP 192.168.12.103 is at 00:11:43:d2:68:65
[mpenning@netwiki ~]$ uname -a
Linux netwiki 2.6.32-5-amd64 #1 SMP Tue Jun 14 09:42:28 UTC 2011 x86_64 GNU/Linux
[mpenning@netwiki ~]$
사실은 부인할 수 없습니다. 나는 데비안 상자를 가지고 있는데 ARP를 스푸핑하지만 그 이유는 모르겠습니다. 나는 이 기계의 유일한 사용자이고, fail2ban
무차별 대입 공격을 방지하기 위해 이 기계를 실행하고 있으며, 들어가려면 배지가 필요한 문 뒤에 있는 내부 실험실 네트워크에 있습니다. 해킹을 당했을 가능성이 매우 높습니다.
세 가지 질문...
- 첫째, 내가 이것을 놓친 이유가 있습니까? 이것이 응용 프로그램 문제인지 커널 문제인지 확인하려면 어떤 단계를 사용해야 합니까?
- 이것이 커널 버그라면 어느 메일링 리스트에 보고해야 합니까? 참고용으로 일반적인 조건입니다.kernel.org 버그 보고 도구지금은 떨어진 것 같습니다.
- 패치를 기다리는 것 외에 이 문제를 해결할 수 있는 방법이 있나요?
답변1
나는 문제를 알아냈습니다... 몇 주 전에 나는 프록시-arp가 백업 이더넷 인터페이스에서 어떻게 작동하는지 시연하고 있었고 (인터페이스가 다운되었음에도 불구하고) 시스템의 구성을 유지했습니다.
192.168.12.0/24
에서 이러한 항목을 제거하면 eth2
더 이상 문제가 발생하지 않습니다.
[mpenning@netwiki ~]$ ip add show eth2
4: eth2: <BROADCAST,MULTICAST,PROMISC> mtu 1500 qdisc mq state DOWN qlen 1000
link/ether 00:10:18:02:32:86 brd ff:ff:ff:ff:ff:ff
inet 192.168.12.100/24 scope global eth2
inet 192.168.1.100/24 scope global eth2
inet 192.168.12.101/24 scope global secondary eth2
inet 192.168.12.102/24 scope global secondary eth2
inet 192.168.12.103/24 scope global secondary eth2
inet 192.168.12.104/24 scope global secondary eth2
inet 192.168.12.105/24 scope global secondary eth2
[mpenning@netwiki ~]$
나는 여전히 이것이 버그이며 제출되어야 한다고 생각합니다. 완료되면 오류 메시지를 업데이트하겠습니다.