Автор Тема: Debian 7 пытается использовать "левые" IP в сети  (Прочитано 2278 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн yura3d

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 27
Здравствуйте!
Есть сервер, работает под управлением Debian 7. Настройка сети довольно простая:
Код: (/etc/network/interfaces) [Выделить]
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address x.x.x.x
netmask y.y.y.y
gateway z.z.z.z
Техническая поддержка дата-центра утверждает, что, помимо использования статически прописанного IP x.x.x.x сервер, пытается также использовать ещё 1 IP - x.x.x.a (отличается последней цифрой), и грозится отключить весь порт за несанкционированное использование адреса. Никаких виртуальных сетевых интерфейсов никогда не создавалось.
Кто может подсказать, куда копать?
« Последнее редактирование: 22 Сентябрь 2014, 21:10:31 от yura3d »
 

yura_n

  • Гость
Re: Debian 7 пытается использовать "левые" IP в сети
« Ответ #1 : 23 Сентябрь 2014, 01:12:46 »
пытается также использовать ещё 1 IP - x.x.x.a (отличается последней цифрой), и грозится отключить весь порт за несанкционированное использование адреса.
А эта последняя цифра не 255 случаем?
 

Оффлайн yura3d

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 27
Re: Debian 7 пытается использовать "левые" IP в сети
« Ответ #2 : 23 Сентябрь 2014, 02:05:04 »
А эта последняя цифра не 255 случаем?
Последняя цифра 240.
Сервер с таким IP-адресом (заканчивающимся на 240) тоже есть в дата-центре. По сути, техподдержка меня обвиняет в том, что я пытаюсь несанкционированно использовать чужой IP.

Никак не могу понять, с какой стороны подойти к этой проблеме. Работник службы поддержки дата-центра предполагает, что у меня есть виртуальный сетевой интерфейс, который и пытается использовать чужой IP в сети. Но в выводах утилит ifconfig и ip -a я не вижу ничего, кроме локальной петли (loopback) и 2-х сетевых интерфейсов eth0 и eth1, соответствующих физическим Ethernet-портам сетевой карты. При этом интерфейс eth0 использует правильный IP, а eth1 неактивен (порт не подключён физически), как и должно быть. Насколько я понял, виртуальные интерфейсы обозначаются в виде eth0:N, где N - номер виртуального интерфейса. У меня ничего такого нет.

Столкнувшись с этим случаем, вспоминаю, как лет 15 назад в нашем районе многие дома были объединены в большую локальную сеть, самопальную, проложенную самими жильцами. В этой сети, разумеется, никакого DHCP не было, IP выдумывали и прописывали статически сами. Так вот, можно было случайно (или не совсем случайно) прописать чужой IP у себя, и потом второй человек с этим IP уже не мог войти в сеть. Получается, нечто подобное сейчас происходит в дата-центре. Мой сервер, помимо своего IP, пытается использовать ещё и чужой. Но я не могу понять: как?
« Последнее редактирование: 23 Сентябрь 2014, 02:46:38 от yura3d »
 

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1985
  • Новосибирск
Re: Debian 7 пытается использовать "левые" IP в сети
« Ответ #3 : 23 Сентябрь 2014, 06:04:38 »
требуйте с тех. поддержки логи tcpdump, где явно будет видно что реально такая проблема есть.

Оффлайн yura3d

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 27
Re: Debian 7 пытается использовать "левые" IP в сети
« Ответ #4 : 23 Сентябрь 2014, 15:22:26 »
требуйте с тех. поддержки логи tcpdump, где явно будет видно что реально такая проблема есть.
Появилась дополнительная информация о проблеме.
Сотрудник техподдержки сбросил выдержку из списка портов коммутатора, к которому подключён мой сервер:

111 hoster 00:25:90:86:d6:06 1:21 dynamic
111 hoster 00:25:90:86:f6:23 1:21 dynamic

И там отчётливо видно, что на моём порту почему-то висят 2 MAC-адреса, т.е. фактически 2 соединения. Первый MAC соответствует физическому MAC порта сетевой карты, он использует положенный ему IP и проблем с ним никаких нет. А вот второй MAC непонятно, откуда взялся, он и использует неразрешённый IP. Мне удалось отловить трафик с него при помощи tcpdump, а это значит, что он действительно имеет отношение к моему серверу (иначе я бы не смог просто так перехватить трафик):

tcpdump -ev host x.x.x.a
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:00:51.925449 00:25:90:86:f6:23 (oui Unknown) > 00:04:96:6d:4d:39 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 23617, offset 0, flags [DF], proto TCP (6), length 60)
    hosted.by.neolocation.net.2223 > chaos.esper.net.ircd: Flags [S], cksum 0x8b83 (correct), seq 2566135099, win 5840, options [mss 1460,sackOK,TS val 438649511 ecr 0,nop,wscale 1], length 0
14:00:52.925443 00:25:90:86:f6:23 (oui Unknown) > 00:04:96:6d:4d:39 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 36822, offset 0, flags [DF], proto TCP (6), length 60)
    hosted.by.neolocation.net.4014 > server79812.santrex.net.6669: Flags [S], cksum 0xd468 (correct), seq 2570309130, win 5840, options [mss 1460,sackOK,TS val 438649611 ecr 0,nop,wscale 1], length 0
14:00:57.925446 00:25:90:86:f6:23 (oui Unknown) > 00:04:96:6d:4d:39 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 23618, offset 0, flags [DF], proto TCP (6), length 60)
    hosted.by.neolocation.net.2223 > chaos.esper.net.ircd: Flags [S], cksum 0x892b (correct), seq 2566135099, win 5840, options [mss 1460,sackOK,TS val 438650111 ecr 0,nop,wscale 1], length 0
14:00:58.925435 00:25:90:86:f6:23 (oui Unknown) > 00:04:96:6d:4d:39 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 36823, offset 0, flags [DF], proto TCP (6), length 60)
    hosted.by.neolocation.net.4014 > server79812.santrex.net.6669: Flags [S], cksum 0xd210 (correct), seq 2570309130, win 5840, options [mss 1460,sackOK,TS val 438650211 ecr 0,nop,wscale 1], length 0
...

00:25:90:86:f6:23 - это и есть тот самый левый второй MAC. Запросы (исключительно исходящие) с него идут с частотой где-то раз в секунду на непонятные хосты, например, chaos.esper.net.ircd. Гугление по этому хосту выдаёт, что это какой-то IRC-сервер. Номера портов, по которым он пытается отправить пакеты (6667 и 6669) косвенно подтверждают принадлежность к IRC. Но на моём сервере не установлено никакого ПО, связанного с протоколом IRC, которое могло бы делать подобные запросы.

Сотрудник техподдержки предполагает, что такая ситуация со вторым MAC может быть из-за того, что на порту вместе с сетевым интерфейсом работает IPMI. Говорит, что они наблюдали такое поведение на других серверах на платформе Supermicro. Но у меня на материнке сервера для IPMI выделен отдельный Ethernet-порт. К тому же, не думаю, что IPMI может отправлять пакеты на такие странные хосты/порты.

Подскажите, пожалуйста, что можно сделать? Как прибить этот второй сетевой интерфейс с левым MAC? Повторюсь, кроме трафика по tcpdump больше никак не могу отловить присутствие этого левого MAC в системе. ifconfig и ip -a видят сетевые интерфейсы и MAC только портов сетевой карты.
« Последнее редактирование: 23 Сентябрь 2014, 17:53:34 от yura3d »
 

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1985
  • Новосибирск
Re: Debian 7 пытается использовать "левые" IP в сети
« Ответ #5 : 23 Сентябрь 2014, 19:11:43 »
yura3d,
netstat -ap

Теги:
 

Последнее обновление Debian Stretch - помогите откатить назад

Автор Листик

Ответов: 6
Просмотров: 140
Последний ответ 21 Октябрь 2020, 12:18:14
от endru
Debian периодически зависает и не реагирует на перезагрузку

Автор BRONNER

Ответов: 6
Просмотров: 3322
Последний ответ 07 Октябрь 2015, 09:34:24
от ferum
Ошибки при обновлении Debian

Автор siemnix

Ответов: 9
Просмотров: 4670
Последний ответ 14 Июнь 2012, 19:51:21
от Olej
ошибки ключей в debian 9

Автор Evgeny7

Ответов: 4
Просмотров: 4963
Последний ответ 02 Август 2017, 16:49:09
от bornbill
Уменьшается громкость Debian 7

Автор Agusha3

Ответов: 2
Просмотров: 1753
Последний ответ 07 Май 2013, 00:09:20
от Agusha3