LINUX.ORG.RU
ФорумAdmin

[MAC-адреса] Винда рулит?


0

0

Недавно был неприятный инцидент в моей локалке. Кто-то присвоил себе мой айпи, возникали конфликты и из-за этого глюки.
Знакомый подсказал, что в логах винды (да-да, они существуют) можно откопать мак того, кто присвоил себе мой адрес. И действительно таки я откопал нечто подобное:
Тип события: Ошибка
Источник события: Tcpip
Категория события: Отсутствует
Код события: 4198
Дата: 10.06.2009
Время: 7:28:24
Пользователь: Н/Д
Компьютер: MICROSOF-04C752
Описание:
В системе обнаружен конфликт адреса IP x.x.x.x с адресом сетевого устройства 00:1F:D0:26:2C:47. Локальный интерфейс был отключен.
Инета естественно при этом не было.
Linux же продолжал хоть и с перебоями, но работать. Вопрос: можно ли под linux узнать MAC негодяя, который присвоил себе мой ip? И как это в винде реализовано?

★★★★★
Помогите с YUM
Проблемы с плагином для Nagios
Ответ на: комментарий от isden

в том то и дело, что arp -a не показывает мой собственный айпишник.

Komintern ★★★★★
() автор топика

> Вопрос: можно ли под linux узнать MAC негодяя, который присвоил себе мой ip? И как это в винде реализовано?

В твои годы пора знать, что такое ARP.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

Я знаю что такое arp. Вопрос как воспользоваться им в данном случае?
arp мой_айпи вполне логично показывает мне мой же мак.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

> Вопрос как воспользоваться им в данном случае? arp мой_айпи вполне логично показывает мне мой же мак.

Меняешь IP, делаешь ping виновника, восстанавливаешь IP - это если втупую. Работает (если делать скриптом) и через ssh.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

хм :) это идея конечно. спасибо. но опять же.. "меняешь айпи" - на какой? рандомный из той же подсети разве что.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

> "меняешь айпи" - на какой?

На неназначенный. Альтернативно, можешь поставить на ифейс IP, например, ЛОРа, и попробовать arping виновника через ифейс. По памяти:

arping -I ethX ipвиновника

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

а вот это уже идея :) короче логика мне понятна. винда наверное так и поступает, вешая на интерфейс свой левый айпи.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

> винда наверное так и поступает, вешая на интерфейс свой левый айпи.

Нет. Поднятый интерфейс нужен на случай, если arping не умеет работать через downed ифейсы. Но послать ARP-запрос из ядра (как делает венда) можно и без этого.

tailgunner ★★★★★
()
Ответ на: комментарий от Komintern 

/usr/src/linux/net/ipv4/arp.c:804:      /* Special case: IPv4 duplicate address detection packet (RFC2131) */
/usr/src/linux/net/ipv4/arp.c-805-      if (sip == 0) {
/usr/src/linux/net/ipv4/arp.c-806-              if (arp->ar_op == htons(ARPOP_REQUEST) &&
/usr/src/linux/net/ipv4/arp.c-807-                  inet_addr_type(net, tip) == RTN_LOCAL &&
/usr/src/linux/net/ipv4/arp.c-808-                  !arp_ignore(in_dev, sip, tip))
/usr/src/linux/net/ipv4/arp.c-809-                      arp_send(ARPOP_REPLY, ETH_P_ARP, sip, dev, tip, sha,
/usr/src/linux/net/ipv4/arp.c-810-                               dev->dev_addr, sha);
/usr/src/linux/net/ipv4/arp.c-811-              goto out;
/usr/src/linux/net/ipv4/arp.c-812-      }

madepa
()

надо было ставить фряшку, она пишет в dmesg :)

можно ядро линуха пропатчить чтобы тоже в dmesg падало или же поставить arpwatch.

true_admin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Помогите с YUM
Admin
Проблемы с плагином для Nagios