[FUG-BR] Problema na rede

Carlos Eduardo G. Carvalho (Cartola) cartoleba em gmail.com
Terça Outubro 26 11:24:35 BRST 2010 

Outra coisa, é normal acontecerem pesquisas arp o tempo todo na rede. A
validade da resolução disso é temporária. Tem que ver é se essa frequência é
razoável e não tenho noção duma frequência normal.

O que quero dizer é que os problemas do MSN e thunderbird podem não ter nada
a ver com isso e isso aí ser normal para o tamanho de sua rede. O que estava
mais estranho antes é todo mundo querendo acessar a máquina 22, que ainda
era uma estação.

Abs, Cartola.

Em 26 de outubro de 2010 11:15, Luan Tasca <luanfug em gmail.com> escreveu:

> Fiz um tcpdump meio amador, só pra filtrar extamente oque esta
> acontecendo..
>
> email:~# tcpdump |grep "arp who-has"
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
> 11:13:51.668786 arp who-has 192.168.82.39 tell 192.168.5.212
> 11:13:51.759588 arp who-has 192.168.35.207 tell 192.168.5.174
> 11:13:51.838361 arp who-has 192.168.64.141 tell 192.168.5.211
> 11:13:51.998768 arp who-has 192.168.89.83 tell 192.168.5.195
> 11:13:52.053215 arp who-has 192.168.83.249 tell 192.168.5.107
> 11:13:52.059149 arp who-has 192.168.122.118 tell 192.168.5.109
> 11:13:52.123636 arp who-has 192.168.97.140 tell 192.168.5.182
> 11:13:52.166876 arp who-has 192.168.82.40 tell 192.168.5.212
> 11:13:52.267407 arp who-has 192.168.35.208 tell 192.168.5.174
> 11:13:52.343483 arp who-has 192.168.64.142 tell 192.168.5.211
> 11:13:52.418179 arp who-has 192.168.5.10 tell 192.168.5.174
> 11:13:52.531202 arp who-has 192.168.89.84 tell 192.168.5.195
> 11:13:52.552754 arp who-has 192.168.83.250 tell 192.168.5.107
> 11:13:52.558180 arp who-has 192.168.122.119 tell 192.168.5.109
> 11:13:52.623600 arp who-has 192.168.97.141 tell 192.168.5.182
> 11:13:52.668859 arp who-has 192.168.82.41 tell 192.168.5.212
> 11:13:52.751559 arp who-has 192.168.5.173 tell 192.168.5.176
> 11:13:52.875813 arp who-has 192.168.35.209 tell 192.168.5.174
> 11:13:52.940871 arp who-has 192.168.5.158 tell 192.168.5.176
> 11:13:52.971758 arp who-has 192.168.64.143 tell 192.168.5.211
> 11:13:52.974014 arp who-has 192.168.5.105 tell 192.168.5.176
> 11:13:52.999755 arp who-has 192.168.89.85 tell 192.168.5.195
> 11:13:53.052783 arp who-has 192.168.83.251 tell 192.168.5.107
> 11:13:53.059174 arp who-has 192.168.122.120 tell 192.168.5.109
> 11:13:53.123754 arp who-has 192.168.97.142 tell 192.168.5.182
> 435 packets captured
> 1523 packets received by filter
> 833 packets dropped by kernel
>
>
>
>
>
> Em 26-10-2010 10:41, Carlos Eduardo G. Carvalho (Cartola) escreveu:
> > Poder ser vírus pode. As diversas máquinas estão querendo saber o MAC
> > address da 22. Por que? Se não tem nada nela não deveriam tentar
> > acessá-la... ela é uma estação como outra qualquer? Já passou anti-vírus
> > nela? E nas demais? Tá estranho mesmo. No dump não aparece nada depois?
> Por
> > que o arp seria o primeiro passo para uma posterior conexão, após sabido
> o
> > MAC. Seria interessante tentar olhar o que as demais máquinas tentam
> fazer
> > depois. Será que pode ser um ARP spoofing? Mas o spoofing de ARP acho que
> > partiria de uma máquina que tentaria se passar por outra (o gateway por
> ex)
> > ou inundar o ARP da rede.
> >
> > Tenta ver se tem mais coisa no dump sobre a 22.
> >
> > Abs, Cartola.
> >
> > Em 26 de outubro de 2010 10:05, Luan Tasca<luanfug em gmail.com>  escreveu:
> >
> >
> >> Em 26-10-2010 09:54, irado furioso com tudo escreveu:
> >>
> >>> não sei.. o que é que existe na máquina .22? todas essas maquinas
> >>> tentam acessar aquela.
> >>>
> >>>
> >> haha, velho, deixa eu explicar melhor, na maquina .22 não tem nada, é
> >> apenas uma estação de trabalho, e ta acontecendo isso com varias outras
> >> estações, e essas estações não tem nenhum serviço, e quando eu comentei
> >> a respeito do msn e o thunder, o msn não conecta, e o thunderbird também
> >> não, fazendo testes no servidor de email, não chega nenhuma requisição,
> >> e com o outlook funciona normal, dai tava achando que poderia ser algum
> >> tipo de virus na rede dele.
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd