Pomoc Zatruwanie ARP - komunikat z Eset

jaseku

jaseku

Nowy użytkownik
Noobie
13 Listopad 2024
7
2
3
41
QNAP
TS-x51
Ethernet
1 GbE
Cześć,

Przychodzę po prośbie, od pewnego czasu mój antywir wysyła mi takie powiadomienie, z informacją o ataku zatruwania ARP, obiektem źródłowym i docelowym jest mój qnap (192.168.0.21, MAC różni się tylko ostatnim znakiem), komunikat poniżej:

1734593129644.png




Podpięte mam dwie sieciówki do switcha, samo urządzenie wskazuje info o wykorzystaniu dwóch LAN jako port 2GBit. Ustawienia Qnap to:

1734592927824.png


Zauważyłem też, że mam włączony ipv6 (Autokonfiguracja IPv6 (Stateless)), czy ma być wyłączony? Czy mogę prosić o pomoc w rozwiązaniu tego problemu? Wystarczy zmienić tryb?
Być może jest to trywialny problem, ale pierwszy raz się z czymś takim spotykam.
 
Wyświetl chronologicznie Sortuj według ilości głosów
A nie masz jakichś kontenerów które na tym samym IP wysyłają pakiety z własnym MAC adresem? Może z tym eset nie umie sobie poradzić bo ma zasadę 1 IP = 1 MAC
 
Głosuj w górę 0 Zgłoszenie negatywne
jaseku napisał:
Skanowałem sieć, nie wykrył żadnego urządzenia, które posiadałoby ten sam IP czy też ten sam MAC.
Kliknij, aby rozwinąć...
A jednak z pierwszego twojego postu wynika że jest takie urządzenie.

-> docker jeżeli bawisz się z vlanami możesz dostawać takie komunikaty

YAML: 
networks:
  vlan-dhcp-eth1.20-6d6da6:
    external: true

services:
  mariadb:
    image: mariadb:10.5
    restart: always
    networks:
     - vlan-dhcp-eth1.20-6d6da6
...
  mariadb-replica:
    image: mariadb:11.2.2
    networks:
     - vlan-dhcp-eth1.20-6d6da6
...

-> Nie potrzebnie włączone na routerze, switchu z tego co mi wiadomo nie jestem sieciowcem (bierz na to poprawkę) nie zaleca się łączyć/współdzielić VLANów przynajmniej w tym kontekście spotkałem się z ProxyARP

Nie chciało mi się z tym walczyć plus nie mogłem grać w HellDiver2 wywaliłem NOD32 xD
 
Głosuj w górę 0 Zgłoszenie negatywne
SiewcaRyżu napisał:
zamiast dodać wyjątek na cały folder gry

Pokaż załącznik 45929
Kliknij, aby rozwinąć...
Kolejne adresy które były raportowane jako ARP zagrożenia ta gra była jedynie już przelaniem czary goryczy miałem też pewne obiekcie co do ich ochrony przeglądarki i web-rankingów ale już nie pamiętam z czym tam się woziłem porostu nie chciało mi się ;)
 
Głosuj w górę 0 Zgłoszenie negatywne
3Qn napisał:
A jednak z pierwszego twojego postu wynika że jest takie urządzenie.
Kliknij, aby rozwinąć...
Ale na drugim zrzucie mam info o połączonych adapterach (1+2) dając dzięki temu sumę 2GBit. Więc pytanie czy jest to jednak wina trybu zbalansowanego? Wyłączenie ivp6 nie rozwiązało problemu, tak jak wspominał @SiewcaRyżu
 
Głosuj w górę 0 Zgłoszenie negatywne
Połączenie balance-tlb [bufor: TLB] z równoważeniem ruchu przychodzącego [bufor RLB] dla ruchu IPv4. Równoważenie otrzymywanego obciążenia osiągane jest poprzez negocjowanie ARP, osiągane przez repliki ARP wysyłane z systemu lokalnego na wyjście i nadpisywanie adresu sprzętu źródłowego unikalnym adresem sprzętowym jednego z interfejsów tak, że różne peery używają różnych adresów sprzętowych dla serwera. ¹Tryb ten zapewnia równoważenie obciążenia sieciowego wejściowe i wyjściowego, oraz ²zwiększa odporność na awarie.
Połączono posty:

więc .. urządzenie A gada z kartą #1 QNAPa, podczas gdy urządzenie B gada z kartą #2 QNAP , działa to póki klient się nie odłączy bądź nastąpie problem z którąś z kart QNAPa - wtedy druga przejmie jej obowiązki (i więc adres MAC).
a ze adres MAC to rzeczy używana przez protokół ARP - dlatego masz alert.
 
  • Lubię to
  • Clapping Hands
  • Fire
Reakcje: Kong, jaseku i 3Qn
Głosuj w górę 0 Zgłoszenie negatywne
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.
Początek strony Dół
Z powrotem