Neuvěřitelná porucha síťové karty počítače

[Pavel Troller]

Zdravím,
  tak z tohoto mi rozum stojí :-). Pátek sice ještě není, ale toto je
celkem on-topic... 
  Kolega mne poprosil, zda bych nezkusil najít zdroj jeho problémů se sítí.
V lokální LAN docházelo k tomu, že jeden ze strojů měl nepravidelné připojení,
které v osmisekundových intervalech flapovalo.
  Analýza ukázala, že v ARP tabulce routeru se vyskytují v určitý okamžik 
2 ARP záznamy pro tutéž IP adresu. Jeden byl správný, odpovídající dotyčnému
stroji, ale druhý patřil stroji s jinou IP adresou. Kde se tam ale ten falešný
záznam bral ?
  Při přihlášení na stroj, který se zdál "mást" síť, nebylo nalezeno nic
podezřelého. Linux, síť nastavena správně, ARP obsahoval jen platné položky,
a hlavně tcpdump ukazoval, že v okamžicích, kdy síť nefungovala na "řádném"
počítači, mu byly opravdu směrovány pakety pro ten "řádný" počítač. tcpdump
ale neukázal jediný paket, který by se dal označit za původce problému - žádná
ARP odpověď ani dotaz, která by způsobovala tento problém. Při shutdownu portu
na switchi ale problémy zmizely!
  tcpdump na "poškozeném" stroji (jehož IP adresa byla "přivlastňována" tím
"útočícím") ale ukázal neuvěřitelnou věc: Každých 8 sekund se v síti objevil
arp dotaz "who has a.b.c.d tell a.b.c.d", tj. jako by se někdo ptal na
SVOJI VLASTNÍ IP adresu, ale nebyla to jeho vlastní, ale právě ta "ukradená"!
Naprostý nesmysl! A tento paket rozesílaný na L2 broadcast všechny mátl,
protože v něm viděli, že kdosi tuto IP má, chce sice tu samou, ale to jim už
nedošlo a jeho IP si zařadili do svých tabulek. A MAC adresa skutečně patřila
tomu "útočícímu" stroji, na němž však nebylo nic podezřelého nalezeno a
dokonce tcpdump na něm puštěný tento paket neviděl.
  A teď to přijde: Obsluha byla vyslána na site a připojila se k consoli
tohoto stroje. První problém byl, že nefungovala klávesnice a na obrazovce byl
log plný informací o selhavším USB. Klávesnice musela být přepojena na jiný
port a teprve poté se rozběhla, původní port zůstal mrtvý. Poté byl stroj
rebootován.
  Po rebootu síť asi 5 minut fungovala, ale pak se ten falešný ARP opět
objevil. Stroj byl proto shutdownován. A teď pozor, teď to přijde: síťová
karta tohoto zjevně vypnutého stroje, se stojícím větrákemu, zhaslou CPU
LED, mrtvým diskem atd. atd., STÁLE GENEROVALA každých 8 sekund tento paket!!!
SAMA OD SEBE! Jako utržená ze řetězu. Ano, síťové karty bývají napájeny pomocí
5V standby zdroje, aby mohl být počítač případně přes ně probuzen, ale
neočekává se od nich žádná aktivita! Jak je toto možné ? To už jsou ty karty
dnes tak chytré, že v nich jsou implementovány hardwarově protokoly jako ARP ?
To jsem netušil. Ovšem na této kartě šly věci poněkud "haywire" a díky tomu
karta bortila celou LAN.
  Základní deska předmětného stroje obsahovala 2 síťové konektory. Po
přepojení na ten druhý a konfiguraci příslušného rozhraní byl problém 
odstraněn. Nicméně, domníváme se, že selhání jednoho USB portu a současně
takovýto problém s ethernetem by mohly spolu souviset a závada by mohla
progresovat, proto byla naplánována výměna celého HW.
  Bohužel nevím výrobce této karty ani její typ (model), ale prý je to
relativně recentní intelský motherboard, tak soudím, že to bude něco
integrovaného v intelském chipsetu.
  To jsou dnes věci na Starém bělidle...
    Zdraví Pavel