Lehce OT: zahlceni site

Dan Lukes dan at obluda.cz
Fri Jun 30 17:20:25 CEST 2006

Previous message: Lehce OT: zahlceni site
Next message: Lehce OT: zahlceni site
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Bc. Radek Krejca wrote:
> 16:37:49.651536 IP 10.100.20.21.snagas > hntp1.hinet.net.domain:  20+ A? mailserver.com. (32)

> Jsou to radove tisice paketu, navic konkretne tato sledovana ip
> 10.100.20.21 je neskodny switch, ovsem ve chvili, kdyz zacnu chytat
> tento provoz, tak se zmeni jeho mac adresa v arp tabulce na routeru a
> switch prestane odpovidat. Ve chvili smazani arp tabulky opet zacne
> fungovat a dostane svou mac adresu.

> Nevim si s tim rady, napred jsem se domnival, ze mam nekde na siti
> zaskodnika, ktery si nastavil ip stejne, jako ten switch. Nicmene
> zadnou hlasku duplicate ip jsem nenasel. O protokolu snagas toho moc
> nevim.

	Ale on tam presto nejspis je. Stav "duplicate IP" totiz nastava jen pro 
nej a pro ten switch - pro nikoho jineho. Takze nikdo jiny nic takoveho 
nehlasi (a switch patrne take ne). Neni jiny rozumny duvod vysvetlujici 
pozorovany jev nez prave zaskodnik.

	Je ho tedy potreba dohledat. Bud' mas inteligentni sitove prvky - ktere 
ti reknou, na kterem portu maji ktere MAC. Nebo je nemas a pak lze 
zaskodnika najit jen v dobe, kdy funguje.

	Pokud mas sit switchovanou, j emozn ese pripojovat na jednotlive 
segmenty (pres HUB) a sledovat, na kterem se nezadouci tok vyskytuje - 
ten nebude vsude, ale jen na tech segmentech, kde je zrojova a cilova 
stanice.

	Pokud sit switchovana neni, nebo z jakehokolvi duvodu neni mozne pouzit 
predchozi postup - pak budes odpojovat jednotlive segmenty site - kdyz 
nezadouci traffic ustane, tak prichazi z tohoto segmentu.

	No a tak postupne dojdes az k nemu.


						Dan

Previous message: Lehce OT: zahlceni site
Next message: Lehce OT: zahlceni site
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list