Como saber se alguém está tentando usar meu endereço IP?

Question

Como saber se alguém está tentando usar meu endereço IP?

#1 resposta do (4 votos)
#2 resposta do (4 votos)

1

Eu uso um host de custo relativamente baixo para meu servidor pessoal e ocasionalmente recebo uma série de alertas de tempo de inatividade. Tudo isso é de hoje.

Se meu host fosse (acidentalmente) atribuir meu IP a outra pessoa, e esse servidor entrasse online e começasse a lutar com o meu pelo controle do IP, seria assim? Se não, eu acho que eu tenho que assumir que o host está tendo problemas de hardware ou rede, ou possivelmente está lidando com algum tipo de ataque DoS, certo? Naturalmente, o portal do cliente e o site da empresa também estão sofrendo paralisações; tornando quase impossível contatá-los e perguntar o que está acontecendo.

No passado, ocasionalmente vi esse tipo de atividade correlacionar com a tentativa de acessar meu site e ver o site padrão de um servidor diferente (o que faz sentido, já que eles não teriam configurações de host para meu domínio).

Além de verificar manualmente todos os meus domínios para ver se algo inesperado volta, há algo que eu possa fazer para detectar alguém tentando usar meu endereço IP?

networking ip-address hosting

por Adam Tuttle 31.05.2015 / 17:59

2 respostas

4

If my host were to ("accidentally") assign my IP to someone else, and that server came online and started fighting with mine for control of the IP, would it look like this?

Dispositivos de rede não "brigam" por seu endereço IP. Se ao seu servidor foi atribuído um endereço IP estático e outro servidor na mesma rede física foi atribuído o mesmo endereço IP, então haveria um endereço IP confict na rede e o tráfego para esse endereço IP iria para um ou outro servidor, dependendo de qual servidor respondeu a consulta ARP para esse endereço IP, mas os servidores não "brigariam" pelo endereço IP. Não há maneira de qualquer servidor dizer ao outro servidor para parar de usar esse endereço IP.

Se os servidores tivessem o endereço IP dinamicamente (com DHCP), o provedor usaria as reservas estáticas no DHCP para garantir que o mesmo endereço IP fosse atribuído ao mesmo servidor (com base no endereço MAC) e esse cenário seria provavelmente ocorrerá. Se ocorresse por algum motivo, um dos servidores receberia o endereço IP e o outro servidor receberia um endereço IP diferente. O servidor que deseja usar o endereço IP que foi atribuído ao outro servidor seria negado a sua solicitação para usar o endereço IP e seria atribuído um endereço IP diferente ou seria atribuído nenhum endereço IP e atribuir-se-ia um endereço IP no APIPA, supondo que o sistema operacional no servidor suporte o APIPA.

Meu palpite "educado" é que o provedor teve uma interrupção de hardware / rede, com base no que você disse sobre o site estar fora do ar e não conseguir contatá-lo. Não pense demais nisso. O provedor teve uma interrupção.

Minha sugestão seria encontrar um provedor mais confiável.

por 31.05.2015 / 18:24

Tags networking ip-address hosting

Rotação de log no NginX no arquivo de configuração Impedir que os administradores locais desliguem o servidor RDS

score 4 · Accepted Answer

Se você quiser saber se outro host no mesmo segmento está enviando respostas ARP quando as solicitações de seu IP estão sendo enviadas, a abordagem mais simples é simplesmente enviar algumas solicitações e verificar se você recebe uma resposta. Aqui está um exemplo de comando (e use seu próprio endereço IP aqui):

arping -I eth0 198.51.100.241

Se você suspeitar que isso ocorre apenas intermitentemente, a execução de um comando tcpdump em uma sessão de tela pode coletar evidências de que isso está acontecendo:

tcpdump -pni eth0 'arp' -s0 -Uw /var/tmp/arp.pcap

Se nenhuma das abordagens fornecer informações suficientes, você poderá começar a procurar outras pistas.

O conflito de endereço IP afetará apenas os pacotes enviados em uma direção. Portanto, se você configurar um software no servidor e em outro lugar para periodicamente enviar um pacote para o outro e acompanhar o tempo de envio e recebimento de cada pacote, você poderá ver se os pacotes são perdidos em uma direção e não o outro.

Além disso, é mais provável que o conflito de endereços IP afete apenas uma família de endereços. Assim, quando seu endereço IPv4 estiver inacessível, você poderá fazer o login usando o IPv6 e investigar como o problema está em andamento.

Finalmente, traceroutes simultâneos de cada extremidade, tanto durante uma interrupção quanto durante uma operação normal, fornecerão muitas informações sobre a localização exata da interrupção.