Пошук проблеми в мережі (на реальних подіях)

мережі

Напишу випадок один, як робив траблшутинг у мережі. Хтось здивується, хтось посміється. А хтось і запам'ятає, та іноді скористається порадою. Загалом справа була така…

Симптоматика банальна – зник Інтернет в організації. Та не в усіх разом, а лише в деяких. Але кількість нещасних зростала. Насамперед перевіряю ping на свій шлюз (192.168.1.100) на віртуалці freebsd. Відповіді надходять. Пінгую зовнішню 8.8.8.8 - тиша.

Залишилося обчислити хулігана та надавати по руках повернути налаштування у нормальний вигляд. Тільки як це зробити? Більшість залізяків у мене “тупі”, некеровані. Є звичайно і Cisco і DLink, але швидше за все не в них. А кореневий комутатор – тупий 3Com. Що ж, дивимося локальний кеш ARP:

Як би вирахувати хоча б напрям, куди копати? На думку спала думка - поставити нескінченний ping і стежити за arp кешем, попутно висмикуючи шнурки з комутатора. > ping 192.168.1.100 -t Попутно звіряю arp -a щодо того, що кеш ARP все ще заражений. Причому, якщо висмикнути шнурок, за яким знаходиться зловмисник, то ping не пропаде - відповідатиме легітимний шлюз, але MAC в кеші зміниться на нормальний! Цей момент я й упіймав.

Хммм. Цільовий шнурок веде на каналізуюче оптичне обладнання, що веде далеко-далеко. Значить з того боку щось прилітає. Вимкнули взагалі цей шнурок, Інтернет відновився. Але це лише частина рішення. На тому боці, як я з'ясував, стоїть DSL-комутатор DAS3216, подібний я одного разу паяв.

Як бачимо, це Arping хворого заліза. 3 пакети відправлено – 6 отримано. Я зацензурив свої IP та MAC-и, там це не важливо – важливі закінчення MAC-ів. Ось зловмисник мав 76:58. Легітимний 01:a0.

Такого не повинно бути – повинен відповідати хтось один. Але цеодночасно і є добрим "пробником".

Перший порт… відповідають обидва. Другий порт – відповідають обидва… … п'ятий… восьмий… десятий… дванадцятий. Я не витримав.

“– Відключи Uplink взагалі від DSLAM!“. Колега вимкнув. Відповідають обидва.

Значить я пішов десь неправильним слідом. Але якщо відключить обладнання, що відповідає каналу, то відповідає тільки один!

Я знайшов відповідного абонента. Вимкнув його. Всі. Квест майже вирішено. Вирушаю розбиратися з налаштуваннями мережі і, мабуть, забороню зміну IP.

Ось така пригода тривала… ну десь години дві-три. Все ускладнювалося розподілом обладнання по різних місцях (найчастіше досить віддаленим один від одного).

Якось так. Не приховую, було цікаво. Азарт справжній.