Zagadka na rozruszanie szarych komórek

[elceef]

Poniżej zagadka, z którą się spotkałem jakiś czas temu:

Szkielet sieci, którą zarządzam oparty jest na warstwie drugiej i sieciach virtualnych (VLAN). W niektórych lokalizacjach stosowane jest urządzenie pracujące w warstwie trzeciej, czyli router. Router działa pod kontrolą FreeBSD i jednocześnie pełni rolę serwera DHCP (fixed-address). Jest podłączony jednym interfejsem do szkieletu, natomiast pozostałe interfejsy przyłączone są do przełącznika lub przełączników, które w zależności od potrzeb mogą być VLAN-aware. Stosowane są statyczne wpisy w tablicy ARP routera, czyli statyczne mapowanie adresów sprzętowych (MAC) na adresy logiczne (IP), aby zminimalizować nadużycia:

Kod:

% arp -an | head
? (83.16.131.1) at 00:d0:b7:c9:8d:c2 on fxp1 permanent [ethernet]
? (83.16.131.2) at 00:02:34:45:fe:cc on fxp1 permanent [ethernet]
? (83.16.131.3) at 00:02:44:6f:f1:bd on fxp1 permanent [ethernet]
? (83.16.131.4) at 00:1d:7d:a8:f9:f9 on fxp1 permanent [ethernet]
? (83.16.131.5) at 00:01:02:03:04:05 on fxp1 permanent [ethernet]
? (83.16.131.6) at 00:02:34:a3:0a:a1 on fxp1 permanent [ethernet]
? (83.16.131.7) at 00:16:36:eb:9b:90 on fxp1 permanent [ethernet]
? (83.16.131.8) at 00:18:f3:a7:82:5d on fxp1 permanent [ethernet]
? (83.16.131.9) at 00:15:60:c2:0c:94 on fxp1 permanent [ethernet]

Interfejs fxp1 jest interfejsem, do którego podłączona jest jedna z podsieci 83.16.131.0/25. Adres 83.16.131.1 jest przypisany do tego właśnie interfejsu. Router do szkieletu podłączony jest interfejsem xl0 (83.16.128.110) poprzez małą sieć połączeniową 83.16.128.108/30.

Mój kolega używając narzędzia traceroute na adres 83.16.131.6 zauważył coś dziwnego:

Kod:

traceroute to 83.16.131.6 (83.16.131.6), 30 hops max, 40 byte packets
 1  83.16.152.129  0.983 ms  1.222 ms  1.432 ms
 2  83.16.128.110  3.171 ms  3.170 ms  3.169 ms
 3  83.16.131.73  5.013 ms  7.981 ms  8.543 ms
 4  * * *

Nie potrafił tego wyjaśnić, więc pokazał drugiemu koledze, a drugi kolega pokazał mi. Moja pierwsza diagnoza, która okazała się błędna: host 83.16.131.73 zatruwa tablicę ARP hosta 83.16.131.6 w celu dyskretnego podsłuchu (man-in-the-middle). Byłem przekonany, że jest prawidłowa, gdyż ping na adres 83.16.131.6 i jednoczesny nasłuch narzędziem tcpdump na fxp1 pokazał:

Kod:

21:21:14.127030 83.16.142.200 > 83.16.131.6: icmp: echo request
21:21:15.128945 83.16.131.6 > 83.16.142.200: icmp: echo reply

Sądziłem, że problem rozwiązany. Niestety, gdy zadzwoniłem do osoby korzystającej z adresu 83.16.131.73, okazało się, że nie prowadzi żadnego posłuchu w sieci (niechcący nastraszyłem faceta). Przy okazji dowiedziałem się, że owa osoba korzysta z małego domowego routera bezprzewodowego, który dokładnie sprawdziłem (był poprawnie skonfigurowany). Następnego dnia ustaliłem, że przyczyna jest całkowicie inna...

Teraz pytanie do Was. Co powodowało takie dziwne zachowanie?

Dysponujecie wszystkimi informacjami, które są Wam potrzebne do określenia przyczyny. Włączcie inteligencję. Powodzenia!

[TQM]

Przy okazji dowiedziałem się, że owa osoba korzysta z małego domowego routera bezprzewodowego, który dokładnie sprawdziłem (był poprawnie skonfigurowany). Następnego dnia ustaliłem, że przyczyna jest całkowicie inna...

Czy to ma oznaczac, ze 'osoba korzysta z routerka' czy tez ze .73 to wlasnie ten routerek? To subtelna roznica w slowach ale ma spore znaczenie dla wyniku 'dochodzenia' :-]

Poza tym czy ten traceroute to jest kompletny taki jak dales czy cos jeszcze dalej jest? Moze jeszcze jedna linijka?

Na razie mam 4 warianty i powoli redukuje (poczatkowo bylo 8)...

[elceef]

Dowiedziałem się o routerze WLAN przy okazji mojego telefonu do osoby z IP 83.16.131.73. To oznacza, że ten mały routerek jest pod adresem 83.16.131.73.

Jeśli chodzi o traceroute, to kolejna linijka nie ma znaczenia. Nie ukrywam żadnych istotnych faktów. Poniżej efekt pracy mtr 83.16.131.6:

Kod:

 Host                     Loss%
 1. 83.16.152.129          0%
 2. 83.16.128.110          0%
 3. 83.16.131.73           0%
 4. ???

Jeszcze podpowiedź: taka sytuacja miała miejsce w przypadku kilku adresów IP w podsieci 83.16.131.0/25. Co jakiś czas objawy przenosiły się na inne adresy.

[TQM]

Pozdrowienia od UPnP?

[elceef]

To nie jest UPnP. Szczerze mówiąc to nawet nie spodziewałem się takiej odpowiedzi. Skąd wniosek, że to UPnP? Pytam z ciekawości.

[TQM]

Po prostu w teorii UPnP otwiera porty na firewall'u... a w praktyce widzialem uszkodzone urzadzenia ktore dzieki UPnP robily podobne jaja...

Jak dla mnie zastosowanie statycznych ARP'ow wyklucza wieksza czesc mozliwych odpowiedzi, chyba ze klient ma jakies dziwne rzeczy - 2 IP na jednym interfejsie, zrobile 'clone-mac' na swoim AP itd...

[markossx]

mały routerek nie miał przypadkiem włączonego DHCP

[elceef]

@TQM
No właśnie. UPnP na tych routerkach otwiera porty (głównie dla klientów torrent). Nie widziałem, żeby UPnP powodował taki efekt, ale za to widziałem przełącznik po wybuchu w szafie :-)
Klient (83.16.131.73) nie klonował adresu MAC na routerze. Inna sprawa, że gdyby zrobił 'clone-mac' to ponieważ jest to inna domena rozgłoszeniowa i kolizyjna, możemy spokojnie odrzucić taką opcję.

@markossx
Oczywiście klient miał włączoną usługę serwera DHCP, ale od strony interfejsu (W)LAN na routerku. Router był poprawnie podłączony. Nie rozdawał adresów w podsieci 83.16.131.0/25.

[rip]

juz nic, zla odpowiedz

[TQM]

No dobra... to co wspolnego z tym maja VLANy?