Neuvěřitelná porucha síťové karty počítače
Petr Tomasek
tomasek na etf.cuni.cz
Středa Červen 25 17:32:42 CEST 2014
On Wed, Jun 25, 2014 at 05:00:06PM +0200, Pavel Troller wrote:
> Zdravím,
> tak z tohoto mi rozum stojí :-). Pátek sice ještě není, ale toto je
> celkem on-topic...
> Kolega mne poprosil, zda bych nezkusil najít zdroj jeho problémů se sítí.
> V lokální LAN docházelo k tomu, že jeden ze strojů měl nepravidelné připojení,
> které v osmisekundových intervalech flapovalo.
> Analýza ukázala, že v ARP tabulce routeru se vyskytují v určitý okamžik
> 2 ARP záznamy pro tutéž IP adresu. Jeden byl správný, odpovídající dotyčnému
> stroji, ale druhý patřil stroji s jinou IP adresou. Kde se tam ale ten falešný
> záznam bral ?
> Při přihlášení na stroj, který se zdál "mást" síť, nebylo nalezeno nic
> podezřelého. Linux, síť nastavena správně, ARP obsahoval jen platné položky,
> a hlavně tcpdump ukazoval, že v okamžicích, kdy síť nefungovala na "řádném"
> počítači, mu byly opravdu směrovány pakety pro ten "řádný" počítač. tcpdump
> ale neukázal jediný paket, který by se dal označit za původce problému - žádná
> ARP odpověď ani dotaz, která by způsobovala tento problém. Při shutdownu portu
> na switchi ale problémy zmizely!
> tcpdump na "poškozeném" stroji (jehož IP adresa byla "přivlastňována" tím
> "útočícím") ale ukázal neuvěřitelnou věc: Každých 8 sekund se v síti objevil
> arp dotaz "who has a.b.c.d tell a.b.c.d", tj. jako by se někdo ptal na
> SVOJI VLASTNÍ IP adresu, ale nebyla to jeho vlastní, ale právě ta "ukradená"!
> Naprostý nesmysl! A tento paket rozesílaný na L2 broadcast všechny mátl,
> protože v něm viděli, že kdosi tuto IP má, chce sice tu samou, ale to jim už
> nedošlo a jeho IP si zařadili do svých tabulek. A MAC adresa skutečně patřila
> tomu "útočícímu" stroji, na němž však nebylo nic podezřelého nalezeno a
> dokonce tcpdump na něm puštěný tento paket neviděl.
> A teď to přijde: Obsluha byla vyslána na site a připojila se k consoli
> tohoto stroje. První problém byl, že nefungovala klávesnice a na obrazovce byl
> log plný informací o selhavším USB. Klávesnice musela být přepojena na jiný
> port a teprve poté se rozběhla, původní port zůstal mrtvý. Poté byl stroj
> rebootován.
> Po rebootu síť asi 5 minut fungovala, ale pak se ten falešný ARP opět
> objevil. Stroj byl proto shutdownován. A teď pozor, teď to přijde: síťová
> karta tohoto zjevně vypnutého stroje, se stojícím větrákemu, zhaslou CPU
> LED, mrtvým diskem atd. atd., STÁLE GENEROVALA každých 8 sekund tento paket!!!
> SAMA OD SEBE! Jako utržená ze řetězu. Ano, síťové karty bývají napájeny pomocí
> 5V standby zdroje, aby mohl být počítač případně přes ně probuzen, ale
> neočekává se od nich žádná aktivita! Jak je toto možné ? To už jsou ty karty
> dnes tak chytré, že v nich jsou implementovány hardwarově protokoly jako ARP ?
> To jsem netušil. Ovšem na této kartě šly věci poněkud "haywire" a díky tomu
> karta bortila celou LAN.
> Základní deska předmětného stroje obsahovala 2 síťové konektory. Po
> přepojení na ten druhý a konfiguraci příslušného rozhraní byl problém
> odstraněn. Nicméně, domníváme se, že selhání jednoho USB portu a současně
> takovýto problém s ethernetem by mohly spolu souviset a závada by mohla
> progresovat, proto byla naplánována výměna celého HW.
> Bohužel nevím výrobce této karty ani její typ (model), ale prý je to
> relativně recentní intelský motherboard, tak soudím, že to bude něco
> integrovaného v intelském chipsetu.
> To jsou dnes věci na Starém bělidle...
> Zdraví Pavel
Asi kolega nekde napsal neco proti Putinovi a ted se mu tam hrabe
GRU...
P.T.
Další informace o konferenci Hw-list