Странные MAC-IP пары в логах (постоянные смены ip)

[kapa]

/var/log/messages

Код: Выделить всё

Apr 26 23:21:15 router1 kernel: arp: 192.168.7.103 moved from 00:3c:f6:e8:96:c7 to 00:9b:7c:aa:59
:a3 on vlan0
Apr 26 23:21:15 router1 kernel: arp: 192.168.7.76 moved from 00:3c:f6:e8:96:c7 to 00:9b:7c:aa:59:
a3 on vlan0
Apr 26 23:21:15 router1 kernel: arp: 192.168.7.69 moved from 00:3c:f6:e8:96:c7 to 00:9b:7c:aa:59:
a3 on vlan0
Apr 26 23:21:15 router1 kernel: arp: 192.168.7.81 moved from 00:3c:f6:e8:96:c7 to 00:9b:7c:aa:59:
a3 on vlan0
Apr 26 23:21:15 router1 kernel: arp: 192.168.7.116 moved from 00:3c:f6:e8:96:c7 to 00:9b:7c:aa:59
:a3 on vlan0
Apr 26 23:21:15 router1 kernel: arp: 192.168.7.60 moved from 00:3c:f6:e8:96:c7 to 00:9b:7c:aa:59:
a3 on vlan0

/var/log/ipguard_vlan0.log

Код: Выделить всё

Apr 26 23:03:23 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.250
Apr 26 23:03:23 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.251
Apr 26 23:03:23 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.252
Apr 26 23:03:23 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.253
Apr 26 23:03:24 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.254
Apr 26 23:03:24 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.255
Apr 26 23:11:02 notice BAD!: 00:0d:87:e5:85:89 192.168.92.64   192.168.92.64
Apr 26 23:13:24 notice BAD!: 00:30:4f:47:53:58 192.168.11.3    192.168.11.1
Apr 26 23:19:50 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.0
Apr 26 23:19:50 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.1
Apr 26 23:19:50 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.2
Apr 26 23:19:51 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.3
Apr 26 23:19:51 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.4
Apr 26 23:19:51 notice BAD!: 00:9d:46:e0:c4:6f 0.0.0.0         192.168.7.5

странно, что логи не пересекаются и таких маков при arp -a замечено не было (правда ни разу ещё не заставал это в реальном времени - происходит по несколько минут несолько раз за вечер)

что чем бы это? и как бороться? есть у кого мысли?

[Nab]

А что за сеть то?
Ваши это адреса? Не ваши?

Возможно это кто-то с ноутбуком кусочек другой сети к вам приносит. Вечером с работы, или еще откуда...

[kapa]

адреса наши
мало того, я тут всё не привёл, - оно как закончит перебирать все адреса в подсети, так меняет МАК и начинает заново - заметили оно все эти IP приписывало до этого всего одному МАК-у?

[Shura]

Это кто-то снифферит сеть. Надо ловить и давать по башке.

[kapa]

Это кто-то снифферит сеть. Надо ловить и давать по башке.

как-то хитро снифферит.
не подскажете чем так можно?
и чем бы поймать? (управляемых свичей в этом сегменте нет)

[Shura]

Боюсь что никак. Как выход из положения могу посоветовать задать статическую ARP таблицу (это если этот компьютер является шлюзом). Это сведет на нет все попытки сниферения. Вот правда если компьютеров много.....

[kapa]

Боюсь что никак. Как выход из положения могу посоветовать задать статическую ARP таблицу (это если этот компьютер является шлюзом). Это сведет на нет все попытки сниферения. Вот правда если компьютеров много.....

под 1000 всего. в интересующих сегментах под 500. сложновато.
а ещё у каждого сетевухи, бывают, горят, или комп меняется, или с работы ноут приносят...

видимо, придётся, тыкать везде умные свичи

а сниферить - так, имхо, когда вся сеть на свичах построена особо не посниферишь - вот только у абонентов компы ругаются и они в техподдержку паникуют - надо как-то успокаивать

[Nab]

почему же никак?

Возможно такие методы подойдут:

Выдергивать шнурок во время такого сниффинга, и сиотреть пропал коннект или нет? хотя тут конечно физически накладно лазить по чердакам

Второй вариант, таков... Если человек занимается этим каждый день, зачит он находит то что ищет, нужно смотреть на последние подключения сразу после окончания сниффинга.... и уже их попробовать физически отключить, если линк не пропал, значит поменялся физический канал...
Возможно с этого начать стоит...

Можно также взять такую штучку как arping, и пинговать захваченные IP к примеру на предмет изменения времени отклика, или вообще временного обрыва связи...

Схем много разных есть .... как и способов их обойти

Хотя к сожалению реально защитит только умный свич или VPN