Что за сообщение: "Neighbour table overflow"

Аватар пользователя AS_Pushkin

Надеюсь, я не промахнулся с темой.

Постоянно выскакивает сообщение:
Neighbour table overflow.

Иногда его прерывает другое:
printk: xxxxx messages supressed.

(Здесь xxxxx - некоторое число)

Что это за сообщения такие? Что значат и как от них избавиться?

Аватар пользователя keng00ru

Re: Что за сообщение: "Neighbour table overflow"

Насколько я понимаю, переполнение таблицы (маршрутизации?).
И ххххх столько раз произошёл сбой.

Готовь подробное описание сети и конфиги. Утром понадобятся. Улыбка
Видел раз такое явление, но толком я в этом не разбираюсь. Помню только, что lisa там всю жизнь портила.

Аватар пользователя sergeil

Re: Что за сообщение: "Neighbour table overflow"

Цитата:
AS_Pushkin пишет:
Надеюсь, я не промахнулся с темой.

Постоянно выскакивает сообщение:
Neighbour table overflow.

Иногда его прерывает другое:
printk: xxxxx messages supressed.

(Здесь xxxxx - некоторое число)

Что это за сообщения такие? Что значат и как от них избавиться?

IMHO, такое может возникнуть, если в одном сегменте ethernet много MAC адресов.

Кстати, такого-же эффекта я в свое время добился, проводя активное сканирование всей локальной сети (255.255.0.0) перебором IP адресов... Рекомендую "послушать" интерфейсы... Возможно, кто-то проделывает тоже самое...

Аватар пользователя AS_Pushkin

Re: Что за сообщение: "Neighbour table overflow"

Цитата:
sergeil пишет:

Цитата:
AS_Pushkin пишет:
Постоянно выскакивает сообщение:
Neighbour table overflow.
Иногда его прерывает другое:
printk: xxxxx messages supressed.

IMHO, такое может возникнуть, если в одном сегменте ethernet много MAC адресов.

Кстати, такого-же эффекта я в свое время добился, проводя активное сканирование всей локальной сети (255.255.0.0) перебором IP адресов... Рекомендую "послушать" интерфейсы... Возможно, кто-то проделывает тоже самое...

Вполне может быть lisa. Я ее поставил, чтобы видеть пользователей в сети. Кстати, вижу не всех. Маска там именно такая - 255.255.0.0, так что вполне может быть. А можно ли увеличить таблицу маршрутизации? Это сообщение неприятно тем, что выскакивает иногда прямо в терминал.

И как "прослушать" интерфейс?

Аватар пользователя redd

Re: Что за сообщение: "Neighbour table overflow"

Очень похоже на сканирование. Я бы так и предположил. Что бы Lisa такое делала не видел.
Попробуйте дать больше памяти под arp таблицу:

echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
echo 2048 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh3

Но прежде всего я бы проверил сервер(или что там у Вас) на попытки интенсивного сканирования портов. И еще можно снифером посмотреть что делает сервер - возможно сам сервер пытется пропинговать каждую машину в локальной сети.
Ну и попробуйте выключить lisa - вдруг поможет?

Аватар пользователя AS_Pushkin

Re: Что за сообщение: "Neighbour table overflow"

Цитата:
redd пишет:
Очень похоже на сканирование. Я бы так и предположил. Что бы Lisa такое делала не видел.
Попробуйте дать больше памяти под arp таблицу:

Попробую.

Цитата:
Но прежде всего я бы проверил сервер(или что там у Вас) на попытки интенсивного сканирования портов.

Как это делается и где про это можно почитать?

Цитата:
И еще можно снифером посмотреть что делает сервер - возможно сам сервер пытется пропинговать каждую машину в локальной сети.

А вот это вряд ли получится: между мной и сервером стоит маршрутизатор, который вряд ли пропустит меня так далеко. Грустный

Аватар пользователя redd

Re: Что за сообщение: "Neighbour table overflow"

Цитата:
AS_Pushkin пишет:

Цитата:
redd пишет:
Очень похоже на сканирование. Я бы так и предположил. Что бы Lisa такое делала не видел.
Попробуйте дать больше памяти под arp таблицу:

Попробую.

Цитата:
Но прежде всего я бы проверил сервер(или что там у Вас) на попытки интенсивного сканирования портов.

Как это делается и где про это можно почитать?

Цитата:
И еще можно снифером посмотреть что делает сервер - возможно сам сервер пытется пропинговать каждую машину в локальной сети.

А вот это вряд ли получится: между мной и сервером стоит маршрутизатор, который вряд ли пропустит меня так далеко. Грустный

Для выявления сканирования портов надо на сервере PortSentry поставить. Этот пакет поможет выявить сканирование и предпринять некоторые противодействия. Но для серьезной защиты я бы посоветовал SNORT. А так для Вас думаю и PortSentry хватит Катается от смеха

Снифер можно поставить на сервер, если есть возможность удаленно управлять сервером. А можно использовать TCPdump. Если нет возможности поставить на сервер - то можно поставить на любую машину в сети и половить пакетики. А там уже надо смотреть по адресам какие пакеты откуда. Можно поставить фильтр и выбрать пакеты с сервера и на сервер. И проанализировать что за пакетики там бегают и от кого. Катается от смеха

Аватар пользователя AS_Pushkin

Re: Что за сообщение: "Neighbour table overflow"

Цитата:
redd пишет:
Для выявления сканирования портов надо на сервере PortSentry поставить. Этот пакет поможет выявить сканирование и предпринять некоторые противодействия. Но для серьезной защиты я бы посоветовал SNORT. А так для Вас думаю и PortSentry хватит Катается от смеха

Вообще-то, я всего лишь клиент этой сети, поэтому на сервере ничего не поставлю.

Цитата:
Снифер можно поставить на сервер, если есть возможность удаленно управлять сервером. А можно использовать TCPdump. Если нет возможности поставить на сервер - то можно поставить на любую машину в сети и половить пакетики. А там уже надо смотреть по адресам какие пакеты откуда. Можно поставить фильтр и выбрать пакеты с сервера и на сервер. И проанализировать что за пакетики там бегают и от кого. Катается от смеха

Не могу я ставить на любую машину. Я там один такой с Linux'ом в сети. Все остальные под вендами, развлекаются играми, вирусами и переустановками. Улыбка
Я могу только на своей машине что-то делать. В принципе, можно и на другие машины "прокрасться" (благо, народ необразованный, защищается красиво оформленными гуевыми защищалками и верит пунктам с пометкой "рекомендуется" Улыбка ), но если засекут, от сетки отключат как пить дать. Улыбка

Так чем мне можно посмотреть, кто ко мне стучится безумолку? TCPdump? И где взять?

Аватар пользователя redd

Re: Что за сообщение: "Neighbour table overflow"

Вообще я думал что Вы управляете сервером в вашей сети Катается от смеха Ну не суть важно. TCPdump есть в любом дистрибутиве, но для простоты поставьте себе на машину тот же Portsentry - для определения сканирования Вашей машины, а как снифер - Ethereal, он прост как дважды два. На другие машины лезть не надо, ставьте все на Вашу и вы будуте перехватывать все пакеты в Вашей сети. Вот то что перехватите и посмотрите.

Аватар пользователя sergeil

Re: Что за сообщение: "Neighbour table overflow"

Цитата:
redd пишет:
TCPdump есть в любом дистрибутиве, но для простоты поставьте себе на машину тот же Portsentry - для определения сканирования Вашей машины, а как снифер - Ethereal, он прост как дважды два. На другие машины лезть не надо, ставьте все на Вашу и вы будуте перехватывать все пакеты в Вашей сети. Вот то что перехватите и посмотрите.

Не все так шоколадно...
1. Факт присутствия в сети сетевой карты в "смешанном" режиме может быть выявлен... Админу это может не понравится...
2. Если локальная сеть на свичах и рутерах, а не на хабах, то сниффер покажет только пакеты для Вашей машины и musticast/broadcast.

Аватар пользователя redd

Re: Что за сообщение: "Neighbour table overflow"

sergeil писал(а):
Не все так шоколадно...
1. Факт присутствия в сети сетевой карты в "смешанном" режиме может быть выявлен... Админу это может не понравится...
2. Если локальная сеть на свичах и рутерах, а не на хабах, то сниффер покажет только пакеты для Вашей машины и musticast/broadcast.

Я думаю с этим проблем не будет тк:
1. Если пару часов побаловаться со снифером во время появления ошибки, админ особо не будет протестовать(тем более это еще увидеть надо, а он я думаю специально отслеживать это не будет), а если объяснить что к чему и что это было лишь временно и сети не навредило(это отмазка если застукают), то думаю админ не будет против того что человек его вопросами не забрасывает, а решает проблему сам. Тем более мы предполагаем что в сети может идти активный сниффинг который мы хотим выявить.
2. Я думаю что сеть не на свичах(ибо часто ставят просто хабы - для удешевления), и уж не на роутерах точно. Ну а снифать и через свичи можно Катается от смеха Сложнее но можно. Плюспросмотр пакетов которые приходят на машину тоже очень информативен, тк мы собираемся выявить попытки сканирования машины либо интенсивного снифания сети, и поток пакетов с одного адреса на наш хост но на разные порты уже подозрительно, да и вообще много чего можно узнать снифая даже собственные пакеты. Мы ведь ни пароли ни чужую информацию воровать не будем.

Аватар пользователя AS_Pushkin

Re: Что за сообщение: "Neighbour table overflow"

Цитата:
redd пишет:
TCPdump есть в любом дистрибутиве, но для простоты поставьте себе на машину тот же Portsentry - для определения сканирования Вашей машины, а как снифер - Ethereal, он прост как дважды два.

Пара вопросов:

  1. tcpdump только под рутом работает?
  2. portsentry - я вообще такого не нашел. Где взять? Как пользоваться?
  3. ethereal - есть много прграмм, начинающихся с ether. Какую использовать? Как?
  4. Можно не отвечать на все вопросы подробно, достаточно ткнуть в правильный man, how-to или интернет-ресурс.
Аватар пользователя AS_Pushkin

Re: Что за сообщение: "Neighbour table overflow"

Расскажу немного про сетку.
Это локалка, объединяющая целый район города. Сервер стоит где-то в подвале одного из домов, работает под FreeBSD. Спецов по этой системе в городе нету, поэтому админ, возможно, даже и не заметит. Улыбка Этот сервер раздает интернет. Есть другой сервер, на котором любители венды играются во всякие супер-пупер-мега-кульные игры, он же держит сайт, FTP и IRC-канал сети. Все это под вендой. Возможно, есть и третий, который как раз и контролирует сеть, но не поручусь. Если есть, то он тоже под вендой. По крайней мере, существуют три IP-адреса, к которым нужно подключаться для полноценной работы в сети. От сервера к каждому дому или подъезду идет, вероятно, коаксил до кабель-модема. Кабель-модем в свою очередь разведен на пользователей дома/подъезда. В общем, там не на хабах, а "по-взрослому". Улыбка

Цитата:
redd пишет:
sergeil писал(а):
Не все так шоколадно...
1. Факт присутствия в сети сетевой карты в "смешанном" режиме может быть выявлен... Админу это может не понравится...
2. Если локальная сеть на свичах и рутерах, а не на хабах, то сниффер покажет только пакеты для Вашей машины и musticast/broadcast.

Я думаю с этим проблем не будет тк:
1. Если пару часов побаловаться со снифером во время появления ошибки, админ особо не будет протестовать(тем более это еще увидеть надо, а он я думаю специально отслеживать это не будет), а если объяснить что к чему и что это было лишь временно и сети не навредило(это отмазка если застукают), то думаю админ не будет против того что человек его вопросами не забрасывает, а решает проблему сам. Тем более мы предполагаем что в сети может идти активный сниффинг который мы хотим выявить.

В принципе, я могу договориться с админом. Улыбка

Цитата:
2. Я думаю что сеть не на свичах(ибо часто ставят просто хабы - для удешевления), и уж не на роутерах точно. Ну а снифать и через свичи можно Катается от смеха Сложнее но можно. Плюспросмотр пакетов которые приходят на машину тоже очень информативен, тк мы собираемся выявить попытки сканирования машины либо интенсивного снифания сети, и поток пакетов с одного адреса на наш хост но на разные порты уже подозрительно, да и вообще много чего можно узнать снифая даже собственные пакеты. Мы ведь ни пароли ни чужую информацию воровать не будем.

Объясните на пальцах, что нужно сделать, чтобы понять, что там происходит в сети.
Изучая вывод tcpdump -vv, я пришел к выводу, что куча пакетов идет от интернет-гейта. Причем их столько, что читать их с экрана в реальном времени невозможно. Точнее, это не интернет-гейт, а сервер VPN. Где именно гейт, я не знаю.

RSS-материал