Buscar aquí

28 abril 2009

Detectar conflictos de IP

Cuando toca administrar una red, uno de los problemas típicos es la administración de las direcciones IP, donde existen algunas herramientas que nos pueden ayudar, pero bueno, eso es tema para otro post.
Suele pasar que al crecer la red de equipos, comienzan los problemas de administración de IP, qué IP tiene tal equipo, si por DHCP o fija...

Síntomas

  • Llamadas de algún usuario alegando que su equipo pierde la conexión a ratos desde el correo electrónico.
  • Windows acusa conectividad limitada o nula a la red.
  • Linux tambien acusa reintentos de conexión a la red.
Detección

Una forma de detección que encontre ahora último, es ir revisando el tráfico ARP (<- click para saber que es ARP) en la red. Para realizar esto, utilizo la herramienta arpwatch que al menos Mandriva 2009, la incluye en sus repositorios.

Uso

Arpwatch, se ejecuta como demonio, escuchando la interfaz que le indiquemos y por defecto escribe todo al log de sistema, desde donde podemos extraer la información.

Usarlo es muy simple, para ver los distintos parámetros tiene man, pero básicamente para lo queremos, detectar conflictos de IP o spoofing, ejecutamos esto:

arpwatch -n -i -u -e

arpwatch -n 192.168.0.1/23 -i eth1 -u nobody -e hola@hola.cl

Con esto estará examinando las subredes 192.168.0.0/24 y 192.168.1.0/24, desde la interfaz eth1. El demonio se ejecutará con el usuario nobody, por razones de seguridad y los eventos los enviará por correo a hola@hola.cl.

Ahora si se quiere tener un control por pantalla, simplemente podemos mantener un:

tail -f /var/log/messages | grep arpwatch

con esto veremos un listado algo asi:

Apr 27 16:41:13 lxnet1 arpwatch: bogon 10.212.8.153 0:1d:f:d4:8:99
Apr 27 16:41:14 lxnet1 arpwatch: bogon 10.212.8.153 0:1d:f:d4:8:99
Apr 27 16:41:14 lxnet1 arpwatch: bogon 10.212.11.164 0:1d:f:d4:b:a4
Apr 27 16:41:14 lxnet1 arpwatch: bogon 10.212.4.239 0:1d:f:d4:4:ef
Apr 27 16:41:14 lxnet1 arpwatch: bogon 10.212.11.164 0:1d:f:d4:b:a4

Un conflicto de IP se ve algo asi:

Apr 22 12:45:38 lxnet1 arpwatch: flip flop 192.168.1.101 0:1a:73:41:e1:ab (0:1d:7e:8e:c0:e2)
Apr 22 12:49:41 lxnet1 arpwatch: flip flop 192.168.1.101 0:1d:7e:8e:c0:e2 (0:1a:73:41:e1:ab)

El flip flop, nos indica que estas Mac estan tratando de tomar esa IP y ahi es donde hay problemas.

:D

1 comentario: