Neuvěřitelná porucha síťové karty počítače

Pavel Troller patrol na sinus.cz
Středa Červen 25 17:36:47 CEST 2014


Zdravím,
 
> Neni to AMT ktere si privlastnilo stejnou IP jako ma ten stroj napriklad z
> DHCP? Jestli je to nejaky lepsi stroj s intelackou sitovkou (driver e1000e
> na linuxu) tak AMT bude urcite mit. Nejsem si ted jisty jestli ma stejnou
> nebo jinou mac adresu jako sitovka v systemu.

Tak tohle jsem teď v jednom BIOSu viděl a nevěděl jsem, co to je. Díky za
informaci. Nesleduji ty kompy zase tak intenzivně, ale musí to být tak rok-2
staré, před tím jsem o ničem takovém neslyšel.

> V systemu to nijak neni videt, nastavuje se to v setupu biosu.

Hmm, tak to by ho měli prohlédnout. A to to může fungovat i při vypnutém
kompu ?

> 
> Co se tyka arp dotazu na sebe sama, to je vcelku bezna vec a neni duvod aby
> to nikoho kolem rozhodilo.

No, zaprvé mi není jasný smysl takového dotazu - když svoji IP znám, tak proč
se na ni ptám, a za druhé, pokud je ta IP, kterou se při tom dotazu ptám,
špatná a patří někomu jinému, tak to pak důvod, aby to ty kolem rozhodilo je.
A kdo má na takový dotaz vlastně odpovědět ? Já ? Sám sobě ? Hmm, opravdu
zvláštní... Nebo mi někde zase něco uniklo a ARP už není to, co býval ?

Zdraví Pavel

> 
> AMT =
> http://www.intel.com/content/www/us/en/architecture-and-technology/intel-active-management-technology.html
> ve zkratce out-of-band ovladani stroje (on/off, reboot, novejsi vcetne
> grafiky a klavesnice/mysi pres lehce zkriplene vnc)
> 
> On 25.6.2014 17:00, Pavel Troller wrote:
> > Zdravím,
> >   tak z tohoto mi rozum stojí :-). Pátek sice ještě není, ale toto je
> > celkem on-topic... 
> >   Kolega mne poprosil, zda bych nezkusil najít zdroj jeho problémů se sítí.
> > V lokální LAN docházelo k tomu, že jeden ze strojů měl nepravidelné připojení,
> > které v osmisekundových intervalech flapovalo.
> >   Analýza ukázala, že v ARP tabulce routeru se vyskytují v určitý okamžik 
> > 2 ARP záznamy pro tutéž IP adresu. Jeden byl správný, odpovídající dotyčnému
> > stroji, ale druhý patřil stroji s jinou IP adresou. Kde se tam ale ten falešný
> > záznam bral ?
> >   Při přihlášení na stroj, který se zdál "mást" síť, nebylo nalezeno nic
> > podezřelého. Linux, síť nastavena správně, ARP obsahoval jen platné položky,
> > a hlavně tcpdump ukazoval, že v okamžicích, kdy síť nefungovala na "řádném"
> > počítači, mu byly opravdu směrovány pakety pro ten "řádný" počítač. tcpdump
> > ale neukázal jediný paket, který by se dal označit za původce problému - žádná
> > ARP odpověď ani dotaz, která by způsobovala tento problém. Při shutdownu portu
> > na switchi ale problémy zmizely!
> >   tcpdump na "poškozeném" stroji (jehož IP adresa byla "přivlastňována" tím
> > "útočícím") ale ukázal neuvěřitelnou věc: Každých 8 sekund se v síti objevil
> > arp dotaz "who has a.b.c.d tell a.b.c.d", tj. jako by se někdo ptal na
> > SVOJI VLASTNÍ IP adresu, ale nebyla to jeho vlastní, ale právě ta "ukradená"!
> > Naprostý nesmysl! A tento paket rozesílaný na L2 broadcast všechny mátl,
> > protože v něm viděli, že kdosi tuto IP má, chce sice tu samou, ale to jim už
> > nedošlo a jeho IP si zařadili do svých tabulek. A MAC adresa skutečně patřila
> > tomu "útočícímu" stroji, na němž však nebylo nic podezřelého nalezeno a
> > dokonce tcpdump na něm puštěný tento paket neviděl.
> >   A teď to přijde: Obsluha byla vyslána na site a připojila se k consoli
> > tohoto stroje. První problém byl, že nefungovala klávesnice a na obrazovce byl
> > log plný informací o selhavším USB. Klávesnice musela být přepojena na jiný
> > port a teprve poté se rozběhla, původní port zůstal mrtvý. Poté byl stroj
> > rebootován.
> >   Po rebootu síť asi 5 minut fungovala, ale pak se ten falešný ARP opět
> > objevil. Stroj byl proto shutdownován. A teď pozor, teď to přijde: síťová
> > karta tohoto zjevně vypnutého stroje, se stojícím větrákemu, zhaslou CPU
> > LED, mrtvým diskem atd. atd., STÁLE GENEROVALA každých 8 sekund tento paket!!!
> > SAMA OD SEBE! Jako utržená ze řetězu. Ano, síťové karty bývají napájeny pomocí
> > 5V standby zdroje, aby mohl být počítač případně přes ně probuzen, ale
> > neočekává se od nich žádná aktivita! Jak je toto možné ? To už jsou ty karty
> > dnes tak chytré, že v nich jsou implementovány hardwarově protokoly jako ARP ?
> > To jsem netušil. Ovšem na této kartě šly věci poněkud "haywire" a díky tomu
> > karta bortila celou LAN.
> >   Základní deska předmětného stroje obsahovala 2 síťové konektory. Po
> > přepojení na ten druhý a konfiguraci příslušného rozhraní byl problém 
> > odstraněn. Nicméně, domníváme se, že selhání jednoho USB portu a současně
> > takovýto problém s ethernetem by mohly spolu souviset a závada by mohla
> > progresovat, proto byla naplánována výměna celého HW.
> >   Bohužel nevím výrobce této karty ani její typ (model), ale prý je to
> > relativně recentní intelský motherboard, tak soudím, že to bude něco
> > integrovaného v intelském chipsetu.
> >   To jsou dnes věci na Starém bělidle...
> >     Zdraví Pavel
> >
> 
> -- 
> Jan 'yanek' Bortl <yanek [at] yanek. cz>
> http://yanek.cz/ | jabber: yanek [at] mitranet. cz
> -----------------------------------------------------------------
> "Maybe one day you will learn that your way is not the only way."
>                                         Opher [StarGate: The Nox]
> 
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


Další informace o konferenci Hw-list