我对这个问题摸不着头脑...我有一台连接到内部实验室网络的 Debian 挤压机。我们有很多机器都有默认的 proxy-arp 配置,偶尔其中一台机器会开始劫持很多实验室地址。
在解决了导致我们大部分实验室瘫痪的最新 Proxy-ARP 事件后,我在/var/log/syslog
(如下)中发现了一些像这样的残留条目。对于那些不习惯阅读arpwatch
日志的人来说,拥有该地址的机器00:11:43:d2:68:65
正在与 192.168.12.102 和 192.168.12.103 争夺谁拥有这些地址。
Sep 13 14:25:27 netwiki arpwatch: flip flop 192.168.12.103 00:11:43:d2:68:65 (84:2b:2b:4b:71:b4) eth0
Sep 13 14:26:24 netwiki arpwatch: flip flop 192.168.12.103 84:2b:2b:4b:71:b4 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:26:b9:4e:d3:71 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:11:43:d2:68:65 (00:26:b9:4e:d3:71) eth0
非常令人担忧的是,它00:11:43:d2:68:65
属于我运行arpwatch
的同一台机器......首先,我验证了它/proc/sys/net/ipv4/conf/eth0/proxy_arp
是0
.接下来,我用来tshark
验证我的机器是否确实在向其他人欺骗 ARP...
[mpenning@netwiki ~]$ ip addr show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:11:43:d2:68:65 brd ff:ff:ff:ff:ff:ff
inet 192.168.12.239/24 brd 192.168.12.255 scope global eth0
inet6 fe80::211:43ff:fed2:6865/64 scope link
valid_lft forever preferred_lft forever
[mpenning@netwiki ~]$
[mpenning@netwiki ~]$ arp -an
? (192.168.12.46) at 00:15:c5:f5:81:9d [ether] on eth0
? (192.168.12.236) at 00:1e:c9:cd:46:c8 [ether] on eth0
? (10.211.180.1) at 00:1e:49:11:fe:47 [ether] on eth1
? (192.168.12.20) at f0:4d:a2:02:81:66 [ether] on eth0
[mpenning@netwiki ~]$ cat /proc/sys/net/ipv4/conf/eth0/proxy_arp
0
[mpenning@netwiki ~]$ sudo tshark -i eth0 arp and ether src 00:11:43:d2:68:65
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 Dell_d2:68:65 -> Dell_02:81:66 ARP 192.168.12.102 is at 00:11:43:d2:68:65
84.954989 Dell_d2:68:65 -> Dell_f5:81:9d ARP 192.168.12.103 is at 00:11:43:d2:68:65
[mpenning@netwiki ~]$ uname -a
Linux netwiki 2.6.32-5-amd64 #1 SMP Tue Jun 14 09:42:28 UTC 2011 x86_64 GNU/Linux
[mpenning@netwiki ~]$
事实是不可否认的。我有一个 Debian 盒子,它会欺骗 ARP,但我不知道为什么。我是这台机器上的唯一用户,我运行它fail2ban
是为了防止暴力攻击,并且它位于门后面的内部实验室网络上,需要徽章才能进入;我非常怀疑它已被黑客入侵。
三个问题...
- 首先,有什么我可能错过的原因吗?我应该使用哪些步骤来确定这是应用程序问题还是内核问题?
- 如果这是一个内核错误,我应该在哪个邮件列表上报告它?仅供参考,正常情况kernel.org 错误报告工具现在似乎已经下降了。
- 除了等待补丁之外,我还能做些什么来解决这个问题吗?
答案1
我发现了问题...几周前我正在演示 proxy-arp 如何在备用以太网接口上工作,并将配置保留在机器上(尽管我的接口已关闭)。
192.168.12.0/24
当我删除from 的这些条目时eth2
,我不再遇到问题。
[mpenning@netwiki ~]$ ip add show eth2
4: eth2: <BROADCAST,MULTICAST,PROMISC> mtu 1500 qdisc mq state DOWN qlen 1000
link/ether 00:10:18:02:32:86 brd ff:ff:ff:ff:ff:ff
inet 192.168.12.100/24 scope global eth2
inet 192.168.1.100/24 scope global eth2
inet 192.168.12.101/24 scope global secondary eth2
inet 192.168.12.102/24 scope global secondary eth2
inet 192.168.12.103/24 scope global secondary eth2
inet 192.168.12.104/24 scope global secondary eth2
inet 192.168.12.105/24 scope global secondary eth2
[mpenning@netwiki ~]$
我仍然认为这是一个错误,需要提交。完成后我将更新错误信息。