Ten sam adres MAC dwa razy w sieci?

2

Ostatnio sieć Wi-Fi w naszej małej firmie została zepsuta w dziwny sposób. Kiedy zrobiłem

     arp -i en1 -a

W rzeczywistości widziałem dwa razy ten sam adres MAC. Kiedy zapytałem osobę nietechniczną (technika była niedysponowana), powiedziano mi, że sieć została „zepsuta” i czekam kilka godzin.

Dwukrotnie wymieniony adres MAC dotyczył urządzenia „Motorola Mobility LLC” i był to 10.100.100.1 i 10.100.100.130. W przeszłości 10.100.100.1 było urządzeniem Cisco.

Próbowałem zrobić ping i odzyskałem coś bardzo dziwnego:

    Darkstar:~ username$ curl http://abc12345.org

    invalid requestDarkstar:~ username$
    Darkstar:~ username$ ping abc12345.org
    PING abc12345.org (173.246.99.7): 56 data bytes
    64 bytes from 173.246.99.7: icmp_seq=0 ttl=44 time=102.034 ms
    92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 0054 d9af   0 0000  3f  01 221b 10.100.100.125  173.246.99.7

    64 bytes from 173.246.99.7: icmp_seq=1 ttl=44 time=123.127 ms
    92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 0054 d5b3   0 0000  3f  01 2617 10.100.100.125  173.246.99.7

    64 bytes from 173.246.99.7: icmp_seq=2 ttl=44 time=98.782 ms
    92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 0054 c095   0 0000  3f  01 3b35 10.100.100.125  173.246.99.7

    64 bytes from 173.246.99.7: icmp_seq=3 ttl=44 time=106.846 ms
    92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 0054 7de4   0 0000  3f  01 7de6 10.100.100.125  173.246.99.7

    64 bytes from 173.246.99.7: icmp_seq=4 ttl=44 time=105.608 ms
    ^C
    --- abc12345.org ping statistics ---

Moje pierwsze pytanie brzmi: czy urządzenie .130 w sieci generuje w ten sposób cały ruch magiczny? Drugie pytanie brzmi: co oznacza aktywność „Przekieruj hosta” podczas pingowania? Trzecie pytanie brzmi: w jaki sposób jeden MAC może pojawić się dwukrotnie w tabeli ARP?

Ta sieć była, jak sądzę, prostym routerem Wi-Fi przechodzącym do jakiegoś połączenia kablowego.


źródło
Dobrze. Jakie jest Twoje pytanie?
Wielomian
1
pierwsze przypuszczenie: ktoś skonfigurował swój adres MAC tak, aby pasował do istniejącej bramy, aby przechwycić wszystkie dane, a twój host FreeBSd jako jedyny wspomniał o tym w pingach?
Hennes,
1
Ktoś fałszuje ARP, co powoduje duże problemy. Zadowolony lub głupi pracownik powoduje DoS.
Ron Maupin

Odpowiedzi:

1

Pojawienie się tego samego adresu MAC kilka razy niekoniecznie stanowi problem. Mapowanie jest jednokierunkowe: z adresu IP na adres MAC. Tabela ARP to sposób, w jaki system operacyjny zna adres MAC, którego należy użyć, aby wysłać pakiet do komputera o danym adresie IP. Jeśli dana maszyna przyjmuje kilka adresów IP jednocześnie (lub w krótkim odstępie czasu), wszystkie z tym samym interfejsem sprzętowym, otrzymasz kilka wpisów z tym samym adresem MAC. Chociaż jest to obsługiwane, a samo w sobie nie stanowi problemu, może to wskazywać na coś podejrzanego w twoim przypadku.

Komunikaty „hosta przekierowania” są śladami pakietów przekierowania ICMP . Mianowicie, maszyna podająca się za adres IP 10.100.100.130 reaguje na twoje żądanie „ping” i mówi do twojego komputera „hej, 10.100.100.125, kiedy chcesz porozmawiać z 173.246.99.7, powinieneś wysłać pakiet na router 10.100.100.1 ”. Prawdopodobnie komputer wysłał żądanie na inny adres bramy, który zadziałał (ponieważ host docelowy odpowiedział). Służy netstat -rndo wyświetlania bieżącej tabeli routingu.

Te komunikaty wydają się wskazywać, że masz dwa routery w sieci lokalnej. To jest niezwykłe. Tu znowu nie jest to śmiertelny problem (Internet został zaprojektowany jako zbędny z kilkoma ścieżkami z dowolnych dwóch punktów), ale może wskazywać na problem z konfiguracją lub być może trwającą (i niedoświadczoną) próbą ataku (jeden z innych systemów próbuje przekieruj ruch innych hostów do siebie).

Tom Leek
źródło
Powinienem kwalifikować się do powiedzenia, że ​​dwa adresy IP, które miały ten sam adres MAC, to 10.100.100.130 i 10.100.100.1.