Debian 7 пытается использовать "левые" IP в сети

[yura3d]

Здравствуйте!
Есть сервер, работает под управлением Debian 7. Настройка сети довольно простая:

Код (/etc/network/interfaces) Выделить Развернуть

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address x.x.x.x
netmask y.y.y.y
gateway z.z.z.z
Техническая поддержка дата-центра утверждает, что, помимо использования статически прописанного IP x.x.x.x сервер, пытается также использовать ещё 1 IP - x.x.x.a (отличается последней цифрой), и грозится отключить весь порт за несанкционированное использование адреса. Никаких виртуальных сетевых интерфейсов никогда не создавалось.
Кто может подсказать, куда копать?

[yura_n]

пытается также использовать ещё 1 IP - x.x.x.a (отличается последней цифрой), и грозится отключить весь порт за несанкционированное использование адреса.

А эта последняя цифра не 255 случаем?

[yura3d]

А эта последняя цифра не 255 случаем?

Последняя цифра 240.
Сервер с таким IP-адресом (заканчивающимся на 240) тоже есть в дата-центре. По сути, техподдержка меня обвиняет в том, что я пытаюсь несанкционированно использовать чужой IP.

Никак не могу понять, с какой стороны подойти к этой проблеме. Работник службы поддержки дата-центра предполагает, что у меня есть виртуальный сетевой интерфейс, который и пытается использовать чужой IP в сети. Но в выводах утилит ifconfig и ip -a я не вижу ничего, кроме локальной петли (loopback) и 2-х сетевых интерфейсов eth0 и eth1, соответствующих физическим Ethernet-портам сетевой карты. При этом интерфейс eth0 использует правильный IP, а eth1 неактивен (порт не подключён физически), как и должно быть. Насколько я понял, виртуальные интерфейсы обозначаются в виде eth0:N, где N - номер виртуального интерфейса. У меня ничего такого нет.

Столкнувшись с этим случаем, вспоминаю, как лет 15 назад в нашем районе многие дома были объединены в большую локальную сеть, самопальную, проложенную самими жильцами. В этой сети, разумеется, никакого DHCP не было, IP выдумывали и прописывали статически сами. Так вот, можно было случайно (или не совсем случайно) прописать чужой IP у себя, и потом второй человек с этим IP уже не мог войти в сеть. Получается, нечто подобное сейчас происходит в дата-центре. Мой сервер, помимо своего IP, пытается использовать ещё и чужой. Но я не могу понять: как?

[endru]

требуйте с тех. поддержки логи tcpdump, где явно будет видно что реально такая проблема есть.

[yura3d]

требуйте с тех. поддержки логи tcpdump, где явно будет видно что реально такая проблема есть.

Появилась дополнительная информация о проблеме.
Сотрудник техподдержки сбросил выдержку из списка портов коммутатора, к которому подключён мой сервер:

Код Выделить Развернуть

111 hoster 00:25:90:86:d6:06 1:21 dynamic
111 hoster 00:25:90:86:f6:23 1:21 dynamic

И там отчётливо видно, что на моём порту почему-то висят 2 MAC-адреса, т.е. фактически 2 соединения. Первый MAC соответствует физическому MAC порта сетевой карты, он использует положенный ему IP и проблем с ним никаких нет. А вот второй MAC непонятно, откуда взялся, он и использует неразрешённый IP. Мне удалось отловить трафик с него при помощи tcpdump, а это значит, что он действительно имеет отношение к моему серверу (иначе я бы не смог просто так перехватить трафик):

Код Выделить Развернуть

tcpdump -ev host x.x.x.a
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:00:51.925449 00:25:90:86:f6:23 (oui Unknown) > 00:04:96:6d:4d:39 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 23617, offset 0, flags [DF], proto TCP (6), length 60)
    hosted.by.neolocation.net.2223 > chaos.esper.net.ircd: Flags [S], cksum 0x8b83 (correct), seq 2566135099, win 5840, options [mss 1460,sackOK,TS val 438649511 ecr 0,nop,wscale 1], length 0
14:00:52.925443 00:25:90:86:f6:23 (oui Unknown) > 00:04:96:6d:4d:39 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 36822, offset 0, flags [DF], proto TCP (6), length 60)
    hosted.by.neolocation.net.4014 > server79812.santrex.net.6669: Flags [S], cksum 0xd468 (correct), seq 2570309130, win 5840, options [mss 1460,sackOK,TS val 438649611 ecr 0,nop,wscale 1], length 0
14:00:57.925446 00:25:90:86:f6:23 (oui Unknown) > 00:04:96:6d:4d:39 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 23618, offset 0, flags [DF], proto TCP (6), length 60)
    hosted.by.neolocation.net.2223 > chaos.esper.net.ircd: Flags [S], cksum 0x892b (correct), seq 2566135099, win 5840, options [mss 1460,sackOK,TS val 438650111 ecr 0,nop,wscale 1], length 0
14:00:58.925435 00:25:90:86:f6:23 (oui Unknown) > 00:04:96:6d:4d:39 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 36823, offset 0, flags [DF], proto TCP (6), length 60)
    hosted.by.neolocation.net.4014 > server79812.santrex.net.6669: Flags [S], cksum 0xd210 (correct), seq 2570309130, win 5840, options [mss 1460,sackOK,TS val 438650211 ecr 0,nop,wscale 1], length 0
...

00:25:90:86:f6:23 - это и есть тот самый левый второй MAC. Запросы (исключительно исходящие) с него идут с частотой где-то раз в секунду на непонятные хосты, например, chaos.esper.net.ircd. Гугление по этому хосту выдаёт, что это какой-то IRC-сервер. Номера портов, по которым он пытается отправить пакеты (6667 и 6669) косвенно подтверждают принадлежность к IRC. Но на моём сервере не установлено никакого ПО, связанного с протоколом IRC, которое могло бы делать подобные запросы.

Сотрудник техподдержки предполагает, что такая ситуация со вторым MAC может быть из-за того, что на порту вместе с сетевым интерфейсом работает IPMI. Говорит, что они наблюдали такое поведение на других серверах на платформе Supermicro. Но у меня на материнке сервера для IPMI выделен отдельный Ethernet-порт. К тому же, не думаю, что IPMI может отправлять пакеты на такие странные хосты/порты.

Подскажите, пожалуйста, что можно сделать? Как прибить этот второй сетевой интерфейс с левым MAC? Повторюсь, кроме трафика по tcpdump больше никак не могу отловить присутствие этого левого MAC в системе. ifconfig и ip -a видят сетевые интерфейсы и MAC только портов сетевой карты.

[endru]

yura3d,

Код Выделить Развернуть

netstat -ap