martians ping

brockz · Beitrag von **brockz** » 31.07.2006 15:24:28

Hallo

hab mal wieder nen Problem diesmal mit sogennanten Martians Ping in meinem internen Netzwerk 30 rechner folgendes kommt auf meinem router
im log

Code: Alles auswählen

Jul 31 15:02:41 router kernel: martian source 192.168.30.32 from 192.168.30.32, on dev eth1
Jul 31 15:02:41 router kernel: ll header: ff:ff:ff:ff:ff:ff:00:<mac adresse>

abschalten ist ja kein problem

Code: Alles auswählen

echo "0" > /proc/sys/net/ipv4/conf/eth1/log_martians

dann ist es auch weg aber halt nicht sinn der sache

das komische ist das der rechner mit der angegeben Mac Adresse 192.168.0.67 hat . ist ne Linux Kiste
route -n scheint alle s zu passen ganz normal der standard gateway definiert.

Die Frage ist welcher Dienst auf der Kiste 192.168.30.32 anpingen will und das über seine standard route (also meinen router der natürlich das als martian ping logged) ? Könnte es der Samba Dienst sein

Savar · Beitrag von **Savar** » 31.07.2006 15:50:59

also wenn ich "martian source" richtig verstehen, dann tut der .67er Rechner so als wäre er der .32er ... also er Spoofed... das wird halt gelogged

brockz · Beitrag von **brockz** » 31.07.2006 16:19:27

komisch er ist ganz normal konfiguriert (ifconfig und route) zeigen normal einträge ? Ich checks nett

Savar · Beitrag von **Savar** » 31.07.2006 16:37:12

also ich würd auf dem Router mal mitsniffen und schauen ob das Paket wirklich vom .67er kommt (obwohl er so tut, als wäre es der .32er) und wenn dem so ist (am besten den .32er ausmachen in der Zeit um den ausschließen zu können) dann musst du dir den .67er mal genauer anschauen... was da so drauf läuft..

Beitrag von **habakug** » 01.08.2006 13:03:13

Hallo!

Auf dem Router

Code: Alles auswählen

tcpdump -n -i eth1 host 192.168.0.67

Du bekommst eine Ausgabe wie z.B.

Code: Alles auswählen

06:48:02.367177 IP 192.168.0.67.2328 > 192.168.30.32.732: UDP, length: 31

Jetzt kannst du mit

Code: Alles auswählen

tcpdump -c 1 -n -i eth1 -x -s 1500 host 192.168.0.67 and port 732

die Pakete mitlesen und möglicherweise den Verursacher identifizieren.
Befinden sich in deinem Netzwerk Windows-Rechner?

Gruß, habakug

P.S. Die obigen Angaben beruhen auf den von dir geposteten Fehelermeldungen und MAC-Adressen. Sie müssen eventuell an die tatsächlichen Verhältnisse angepasst werden.

brockz · Beitrag von **brockz** » 01.08.2006 20:25:02

ja wir haben windoff kisten enmasse ......
Ich konnte den 67er halt über nmap mac scan identifizieren das es halt die mac adresse von dem ist der das netz 192.168.30.0 will . Auser jemand anders spooft die Mac was ich mir nicht vorstellen kann. Es würde halt zusammen passen da der 67er ja nur den standard gw definiert hat
Die Frage ist mal aber die.

Der 67er Rechner ist ja ne linux mühle , hat den 192.168.0.99 als standard gateway ist die einzige route im kernel . normal dürfte er doch nicht ansatzweise probieren in das netz 192.168.30.0 zu kommen . Ich würde doch bei einem Ping doch auch ein Network unreachable bekommen wenn ins 192.168.30.0 Netz . Wenn ich von der anderen Linux Mühle in dem Gleichen Netzwerk (auch nur Standard GW 192.168.0.99) einen ping auf 30.0 probiere . bekomme ich sofort ein network unreachable ! Was mir aufgefallen ist das der 67er Rechner noch eine andere IP auch eth0 gebunden hat. Eine ARPIPA Adresse 169.xxx.xxx.xxx könnte das das Problem sein. Ich bekomme die aber nicht weg habe in der Interfaces auch nur nur eth0 als 192.168.0.67 konfiguriert trozdem bekommt das Ding ne 2te IP (ARPIPA)

herrchen · Beitrag von **herrchen** » 01.08.2006 23:12:16

brockz hat geschrieben:habe in der Interfaces auch nur nur eth0 als 192.168.0.67 konfiguriert trozdem bekommt das Ding ne 2te IP (ARPIPA)

hast du was mit "avahi" oder "zeroconf" installiert?

herrchen

brockz · Beitrag von **brockz** » 02.08.2006 08:41:41

kein rendevouz oder sonstiges.

ich kapiers net

brockz · Beitrag von **brockz** » 02.08.2006 09:55:27

auf router

Code: Alles auswählen

 tcpdump -ni eth1 arp

bekomme ich

Code: Alles auswählen

09:43:04.450458 arp who-has 192.168.30.32 (ff:ff:ff:ff:ff:ff) tell 192.168.30.32
09:43:06.513599 arp who-has 192.168.30.32 (ff:ff:ff:ff:ff:ff) tell 192.168.30.32
09:43:08.576729 arp who-has 192.168.30.32 (ff:ff:ff:ff:ff:ff) tell 192.168.30.32
09:43:10.639231 arp who-has 192.168.30.32 (ff:ff:ff:ff:ff:ff) tell 192.168.30.32
09:43:12.102877 arp who-has 192.168.0.109 tell 192.168.0.99
09:43:12.103156 arp reply 192.168.0.109 is-at 00:<MAC>

und

bei

Code: Alles auswählen

tcpdump -e -i eth1 host 192.168.30.32





09:45:57.752689 00:0e:0c:3d:e5:ac (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.30.32 (Broadcast) tell 192.168.30.32
09:45:59.816971 00:0e:0c:3d:e5:ac (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.30.32 (Broadcast) tell 192.168.30.32
09:46:01.888272 00:0e:0c:3d:e5:ac (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.30.32 (Broadcast) tell 192.168.30.32
09:46:03.951210 00:0e:0c:3d:e5:ac (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.30.32 (Broadcast) tell 192.168.30.32
09:46:06.012155 00:0e:0c:3d:e5:ac (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.30.32 (Broadcast) tell 192.168.30.32
09:46:08.075271 00:0e:0c:3d:e5:ac (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.30.32 (Broadcast) tell 192.168.30.32
09:46:10.124995 00:0e:0c:3d:e5:ac (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.30.32 (Broadcast) tell 192.168.30.32
09:46:12.188178 00:0e:0c:3d:e5:ac (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.30.32 (Broadcast) tell 192.168.30.32

Code: Alles auswählen

Beitrag von **habakug** » 02.08.2006 14:11:07

Hallo!

Wenn ein Rechner X in ein Netzwerk eingebunden wird, beginnt die Initialisierung indem er ARP auf sich selbst anwendet:

Code: Alles auswählen

arp who-has 192.168.30.32 <01:02:03:04:05:06> tell 192.168.30.32

Ausser das in seiner ARP-Tabelle jetzt seine IP- und seine MAC-Adresse stehen, passiert dann garnichts weiter.
Wenn ein anderer Rechner im Netzwerk sich mit Rechner X verbinden will, sendet er eine ARP-Anfrage als Broadcast an alle Rechner im Netzwerk:

Code: Alles auswählen

arp who-has 192.168.30.32 tell 192.168.30.1

Jetzt erkennt Rechner X seine IP-Adresse und antwortet mit:

Code: Alles auswählen

arp reply 192.168.30.32 is-at 01:02:03:04:05:06

Die ARP-Tabellen auf den beiden Rechnern haben jetzt zwei Einträge mit ihren IP- und MAC-Adressen und die Kommunikation kann beginnen.

In deinem Fall sieht es so aus, das der Rechner mit der MAC-Adresse

Code: Alles auswählen

00:0e:0c:3d:e5:ac

ARP mit der IP-Adresse 192.168.30.32 auf sich selbst anwendet. Es handelt sich wahrscheinlich um eine Intel-Netzwerkkarte, das (oui Unknown) resultiert aus einer der Aktualisierung bedürftigen OUI-Datenbank.
Gehe doch mal zu diesem Rechner und überzeuge dich, das er unter anderem diese IP-Adresse hat.
Unter Linux kannst du übrigens mit

Code: Alles auswählen

arping -D 192.168.30.32

leicht feststellen ob eine IP doppelt vorhanden ist.
Die Informationen über dein Netzwerk sind allerdings sehr spärlich.
Gruß, habakug

brockz · Beitrag von **brockz** » 02.08.2006 21:42:20

ich checke das morgen und gebe feedback