messages.log läuft voll mit arp info

G

greenhorn

Member
Hallo!

Ich habe vor ca. einer Woche ein Gateway Rechner für eine 100Mbit Festverbindung aufgesetzt.
Dieser lief auch zwei Tage ohne Probleme. Allerdings traten dann immer wieder Fehlermeldungen in der /var/log/messages auf, bis die Verbindung sehr langsam wurde und zusammen brach.
Folgende Meldungen werden all 20 min protokolliert.

Aug 18 11:06:47 defcon1 /bsd: arp info overwritten for 192.168.100.68 by 00:02:b3:8d:df:d2 on fxp0
Aug 18 11:06:47 defcon1 /bsd: arp info overwritten for 192.168.100.68 by 00:50:bf:50:41:4d on fxp0


Der Rechner mit der IP 192.168.100.68 ist ein SuSE Linux 8.2 System und dient lediglich als Sicherungsserver im Netzwerk.
(Er besitzt 2 Netzwerkkarten in 2 verschiedenen Class C Netzen)
Diese System unterliegt allerdings nicht meiner Zuständigkeit.

Im Internet (google) habe ich zum Thema arp info Fehlermeldungen unterschiedliche Meldungen gelesen z.B. das es bei ipspoofing vorkommen kann das solche Einträge protokolliert werden.

Nun will ich mal hier hören was es damit auf sich hat und wie man damit am besten umgeht.

greenhorn
 
Das kommt daher, dass die Karten mit den Adressen 00:02:b3:8d:df:d2 und 00:50:bf:50:41:4d die selbe IP haben (192.168.100.68) oder diese IP sich alle 20 Minuten auf die beiden NICs aufteilt. Es koennte sein, dass hier jemand eine total kaputte Art der Lastverteilung versucht.

Mache den Admin der beiden NICs ausfindig und frage Ihn was der Scheiss soll.
 
Original geschrieben von greenhorn


Aug 18 11:06:47 defcon1 /bsd: arp info overwritten for 192.168.100.68 by 00:02:b3:8d:df:d2 on fxp0
Aug 18 11:06:47 defcon1 /bsd: arp info overwritten for 192.168.100.68 by 00:50:bf:50:41:4d on fxp0
Zum Vergrößern anklicken....

Hi

Es stimmt, dass es sich dabei auch um IP-Spoofings hadeln kann, jedoch ist das Auftreten immer auf 20 Min. tempiert, was normalerweise nicht einem menschlichen Verhalten entsprechen dürfte (na ja, es gibt ja auch die Script-Kiddie-Tools die so eingerichtet werden können, aber ...).

Und vermutlich bekommt dieser SuSE-Rechner alle 20 Min. von einem DHCP-Server die IPs mitgeteilt, was wohl dazu führt, dass sich eben die beiden Netzkarten um die eine IP streiten.

Und dieser Rechner sollte mit seinen Netzkarten, deinen Worten zufolge, in zwei unterscheidlichen Class-C-Netzwerken sein, was hier nicht der Fall ist.

Vermutlich steht in der dhcpd-Konfig auf dem DHCP-Server ein falscher Eintrag drin.

Ich spekuliere aber hier nur, da ich nicht weiß, ob ihr einen DHCP-Server habt oder die IPs fest vergeben habt.

Gruß

CW
 
In dem Netzwerk befindet sich allerdings kein DHCP Server.
Die Ip- Adressen sind statisch eingetragen,
eine 213.x.x.x und die andere ist die 192.168.100.68.
Ich kann leider nicht sagen was alles sonst noch auf diesem R4echner läuft aber er wird nur als Ablage Rechner benutzt wo dran sonst so keiner arbeitet.
Ich werd mal versuchen an die Log Files des Rechners zu kommen und evtl. steht da noch eine zusätzliche Information drin.
Ich kann mir aber auch nicht vorstellen das beide Netzwerkkarten in irgendeiner Form einen technischen Defekt haben der diesen Fehler verursacht.


Kann den so ein Fehler dazuführen, das das OpenBSD System (Version 3.2) seinen Dienst (in diesem Fall "Routing") nicht mehr korrekt ausführt?

Vielen Dank für eure Mithilfe

greenhorn
 
Original geschrieben von greenhorn
In dem Netzwerk befindet sich allerdings kein DHCP Server.
Die Ip- Adressen sind statisch eingetragen,
eine 213.x.x.x und die andere ist die 192.168.100.68.
Zum Vergrößern anklicken....

Wenn es so ist, dann muss man auch die Möglichkeit beachten, dass es wirklich ein Spoofing gibt. Dein Kollege hat doch geschrieben, dass es noch vor ein paar Tagen ohne Probleme ging. Und wenn auf dem Rechner ohnehin nicht viel geändert wird (Konfigurationen usw.), da er ein Ablagerechner ist, ist leider die andere Möglichkeit (die ich dir nicht wünsche) möglicherweise aufgetreten.

Mann, Mann ... und das alle 20 Minuten ... sowas ist roboterhaft!

Hmmm ... Script-Kiddie-Tools können das, glaube ich, auch.

Ich kann leider nicht sagen was alles sonst noch auf diesem R4echner läuft aber er wird nur als Ablage Rechner benutzt wo dran sonst so keiner arbeitet.
Zum Vergrößern anklicken....

Und daher denke ich, dass es eine Spoof-Attacke geben könnte.

Natürlich kann es auch sein, dass eine Netzkarte spinnt.

Na ja, das ist jetzt nicht gerade eine technische Erklärung dessen gewesen, worum es sich handeln könnte (um nicht zu sagen, ich hätte was dummes gesagt).

Schon mal die Netzkarten ausgetauscht?

Also die die eigentlich keine 192.168.x.x Nummer haben sollte und die sich doch diese (aus welchem Grunde auch immer) holt.

Ich werd mal versuchen an die Log Files des Rechners zu kommen und evtl. steht da noch eine zusätzliche Information drin.
Zum Vergrößern anklicken....

Sehr gut, dann können wird vielleicht doch eine andere Lösung finden.

Ich kann mir aber auch nicht vorstellen das beide Netzwerkkarten in irgendeiner Form einen technischen Defekt haben der diesen Fehler verursacht.
Zum Vergrößern anklicken....

Ich auch nicht, doch alle denkbaren Fehler sind leider auch machbar.

Kann den so ein Fehler dazuführen, das das OpenBSD System (Version 3.2) seinen Dienst (in diesem Fall "Routing") nicht mehr korrekt ausführt?
Zum Vergrößern anklicken....

Natürlich, weil er nicht mehr mit dem einen Netzwerk verbunden ist, an das er die Pakete weiterleiten soll, wenn sie zu diesem Netz zugehörig sind.

Vielen Dank für eure Mithilfe

greenhorn
Zum Vergrößern anklicken....

Kein Thema, obwohl ich mich nicht so fühle, als ob ich dir viel geholfen habe. :)

Grüße

CW
 
Zuletzt bearbeitet:
Hmmm... na ich habe ein ähnliches Problem, wenn auch nicht das gleiche:

auch bei meinem Router laufen Messages nach dem Schema "arp info overwritten by ..." auf. Nach ein wenig google.de hab ich herausgefunden, daß sich solche messages unterdrücken lassen, indem man

sysctl net.link.ether.inet.log_arp_messages

ausführt.
[gesehen hier: http://lists.freebsd.org/pipermail/freebsd-questions/2003-November/027201.html ]Leider bekomme ich dann aber folgende Meldung vom System mitgeteilt:

Code: 
sysctl: second level name link in net.link.ether.inet.log_arp_movements is invalid

Okay, okay! In der manpage von sysctl steht auch nix von dem "net.link.ether...bla". Ich hab zumindest nichts gesehen.

War demzufolge die bei google gefundene Info verkehrt oder mache ich einen anderen Fehler? Die Meldung müllt mir hier echt alles dicht und ich wäre die schon gerne los...

Danke Leute, daß Ihr bis hierher gelesen habt und mir vielleicht auch noch helft...


Herakles
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben