LINUX.ORG.RU
ФорумTalks

Линукс следит за мной

 ,


0

6

Есть у меня маленькая домашняя проводная сеть на 5 узлов. Один широковещательный домен, ничего особенного. Так вот сижу я сегодня на стуле, никого не трогаю, запускаю arp -a (на машине с оффтопиком) и вижу, что хостов не 5, а 6! Дальнейший анализ показал, что мак-адрес 6-го айпишника принадлежит машине с линуксом. Таким образом, на интерфейсе у линукса два адреса: официальный 192.168.10.1, котороый я присвоил интерфейсу и какой-то левый 192.168.10.253, который получен по DHCP (DHCP-сервер в сети имеется). Интерфейс на VLAN-ы не порезан. Запустил nmap, вывод его для обоих айпишников идентичен, те же порты открыты и все остальное. Запустил на линуксе tcpdump, пока левого траффика не заметил. Но потенциально, раз он по DHCP получил адрес, значит получил и гейтвэй и может по тихому ходить в интернет. Словом, пишу из горящего танка.
Что это? Какая-то фича, о которой я не знаю или пора мне менять везде пароли?
Пока ничего не выключаю и не перезагружаю, вдруг пропадет еще.


Ответ на: комментарий от Spirit_of_Stallman

Я ему не говорил вешать втихую второй айпишник на интерфейс. Может он меня неправильно понял?)

Gu4 ()
Ответ на: комментарий от Gu4

а) кто говорил что говорили это делать вы?
б) где гарантии что вы знаете как работают технологии, которые вы держите на этой системе?

Spirit_of_Stallman ★★★ ()

Валерьянка закончилась?

amorpher ★★★★★ ()
Ответ на: комментарий от Spirit_of_Stallman

а) кто говорил что говорили это делать вы?

как раз это меня и смущает

б) где гарантии что вы знаете как работают технологии, которые вы держите на этой системе?

вот я и пытаюсь разобраться

Смотря какой был выбран тип сети.

Как я понимаю, если выбран нат, то используется айпишник интерфейса и его мак. Если bridge, то отдельный мак виртуалбокса и ip уже устанавливается в вм.

Gu4 ()
Ответ на: комментарий от ziemin

что tcpdump покажет.

Кстати

Запустил на линуксе tcpdump, пока левого траффика не заметил

А интерфейс tcpdump какой слушает?

ziemin ★★ ()
Ответ на: комментарий от Gu4

Если bridge, то отдельный мак виртуалбокса и ip уже устанавливается в вм.

А откуда VB берёт мак? Не копирует ли, часом, адрес реального интерфейса? Или таки придумывает его сама?
Проверяли?

Spirit_of_Stallman ★★★ ()
Ответ на: комментарий от ziemin

А интерфейс tcpdump какой слушает?

слушает тот самый непонятный айпишник.
tcpdump host 192.168.10.253

Ну и попингуй 8.8.8.8 с виртуалки, и посмотри, что tcpdump покажет.

тут есть один нюанс. это ноут и в интернет он ходит через wi-fi. я все-же попытался wi-fi отрубить и прописать дефолтный маршрут в локалку. пока то-сё, запустил виртуалку, обнаружил, что айпишник пропал. вернуть пока не могу.

Gu4 ()
Ответ на: комментарий от Spirit_of_Stallman

А откуда VB берёт мак? Не копирует ли, часом, адрес реального интерфейса? Или таки придумывает его сама?

Проверяли?

провел испытания, если вм запущена с сетью в режиме bridge, то она использует мак 080027a678ba. Гугл говорит, что это какой-то CADMUS COMPUTER SYSTEMS.

Gu4 ()

Он не следит, он присматривает.

Tark ★★ ()

Вангую NetworkManager или аналогичный конфликтный софт в совокупности с кривыми руками.

CYB3R ★★★★★ ()

Почему бы на гейте не создать разрешающие правила для каждого клиента, а не для всей подсети?

the_green ()
Ответ на: комментарий от CYB3R

Вангую NetworkManager или аналогичный конфликтный софт в совокупности с кривыми руками.

Вот это едтнственный правдоподобный вариант. Использую wicd.
В /etc/network/interfaces сказано получать айпишник по DHCP. На момент инцидента адрес на интерфейсе был прописан вручную через ifconfig.
Пропало это дело как раз когда тыкался в wicd.

Gu4 ()
Ответ на: комментарий от the_green

Почему бы на гейте не создать разрешающие правила для каждого клиента, а не для всей подсети?

Я уже на всякий случай сменил пароли и подредактировал правила iptables :) Вот думаю, может все-же какой-то мониторинг прикрутить, тогда хоть выясню, находится ли машина в ботнете иши виноваты мои кривые руки. Пока в голову не приходит ничего кроме запсутить в фоне tcpdump с хитрыми опциями.

Gu4 ()
Ответ на: комментарий от kerneliq

Просто посмотри настройки и выясни почему он второй ip получает.

кэп, тебя не хватало в этом треде.

Gu4 ()
Ответ на: комментарий от Gu4

А интерфейс tcpdump какой слушает?

слушает тот самый непонятный айпишник.
tcpdump host 192.168.10.253

tcpdump -i any host 192.168.10.253

sin_a ★★★★★ ()

есть. восстановил состояние с двумя адресами на интерфейсе.
говорите, какие команды вводить. а то я в этом расследовании зашел в тупик.

Gu4 ()
Ответ на: комментарий от the_green

Причастность virtualbox не подтверждаю. Запустил вм с сетью в режиме NAT, IP адрес используется тот, который задан на интерфейсе. Про режим bridge писал выше, там мак другой.
К тому же, tcpdump показывает активность с этим призрачным адресом. А все виртуальные машины в этот момент выключены.
Теперь про активность. Вот что показывает tcpdump после получения по dhcp адреса


10:20:06.102340 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.10.253 tell darkstar.local, length 28
10:21:57.667769 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 96)
192.168.10.253.netbios-ns > 192.168.10.255.netbios-ns: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
10:21:57.668697 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 96)
192.168.10.253.netbios-ns > 192.168.10.255.netbios-ns: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
10:21:57.668785 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 96)
192.168.10.253.netbios-ns > 192.168.10.255.netbios-ns: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
10:21:57.668862 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 96)


darkstar.local - это мой родной адрес интерфейса. Инетересно, то это за широковещательные запросы регистрации. Далее он видимо, таки региструется где-то и начинает что-то обсуждать с виндовой машиной. При чем, судя по arp-запросу инициатором была именно она.


10:42:21.847795 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 237)
192.168.10.253.netbios-dgm > 192.168.10.255.netbios-dgm: NBT UDP PACKET(138)
10:46:49.022822 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.10.253 tell win.unix.nt, length 46
10:46:49.022877 ARP, Ethernet (len 6), IPv4 (len 4), Reply 192.168.10.253 is-at e8:11:32:c6:d5:dd (oui Unknown), length 28
10:46:49.023191 IP (tos 0x0, ttl 128, id 11457, offset 0, flags [DF], proto TCP (6), length 48)
win.unix.nt.1508 > 192.168.10.253.netbios-ssn: Flags \[S\], cksum 0xf640 (correct), seq 2852718102, win 16384, options [mss 1460,nop,nop,sackOK], length 0
10:46:49.023362 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48)
192.168.10.253.netbios-ssn > win.unix.nt.1508: Flags [S.], cksum 0x9672 (incorrect -> 0x73b7), seq 3779307564, ack 2852718103, win 14600, options [mss 1460,nop,nop,sackOK], length 0
10:46:49.023728 IP (tos 0x0, ttl 128, id 11458, offset 0, flags [DF], proto TCP (6), length 112)
win.unix.nt.1508 > 192.168.10.253.netbios-ssn: Flags [P.], cksum 0x47ef (correct), seq 1:73, ack 1, win 17520, length 72 NBT Session Packet: Session Request
10:46:49.023864 IP (tos 0x0, ttl 64, id 5194, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.253.netbios-ssn > win.unix.nt.1508: Flags [.], cksum 0x966a (incorrect -> 0xa033), ack 73, win 14600, length 0
10:46:49.344510 IP (tos 0x0, ttl 64, id 5195, offset 0, flags [DF], proto TCP (6), length 44)


Пока проверяю теорию с несовместимостью wicd и других настроек. Отрубил wicd, перезапустил сеть, пока призрачный адрес не засветился.

Gu4 ()

Поставь себе Dr.Web for Linux.

pacify ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.