Problema do Windows / Cisco MAC

Question

Problema do Windows / Cisco MAC

#1 resposta do (1 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)
#6 resposta do (0 votos)
#7 resposta do (0 votos)

1

O problema é bizarro, pelo menos para mim.

Eu tenho um servidor dedicado do Windows 2003. De vez em quando (aproximadamente a cada três meses), o switch da Cisco desconecta esse servidor assim:

%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 2020.2020.3c64 on port FastEthernet0/33.

O suporte do ISP está tentando me convencer de que tenho algum malware que está tentando um ataque de falsificação de mac e que é política deles permitir três endereços mac por porta e que isso ocorre quando esse limite de endereço é excedido.

Eu fiz a varredura com três ferramentas diferentes (incluindo a da Microsoft) e não consigo encontrar nada. Eu verifiquei os registros de acesso da web quando isso acontece, e não há nem mesmo crianças de script procurando por phpmyadmin.

Pode ser que algum componente do Windows esteja fazendo isso? Qualquer, e eu quero dizer qualquer conselho sobre o que verificar em seguida seria apreciado.

cisco windows-server-2003

por vnuk 17.06.2009 / 09:30

7 respostas

Tags cisco windows-server-2003

“Criar objetos globais” direitos em um servidor de terminal Prática recomendada para compras com licença flutuante?

score 1 · Answer 1

A mensagem indica que o switch está vendo muitos endereços de origem Ethernet diferentes na porta. Há vários possíveis motivos legítimos para a máquina tentar usar mais de um endereço Ethernet por interface física.

Você está executando alguma máquina virtual no seu servidor (VMware ou similar)? Isso pode causar vários MACs legítimos.

Você está executando algum software de alta disponibilidade? Alguns métodos usados para resiliência dependem de ter um MAC para a máquina física e um MAC usado para um IP de serviço que flutua entre as máquinas (VRRP e HSRP são dois protocolos para facilitar isso).

Você se certificou de não ter problemas de hardware ou driver? Como raio diz, drivers ou hardware com defeito podem causar esse tipo de comportamento.

Você verificou a máquina a partir de uma "inicialização limpa conhecida"? Pode ser que você tenha uma infestação de malware inteligente o bastante para se esconder de suas ferramentas de varredura, mas inspecionar o disco de um host em bom estado (ou uma inicialização limpa, somente mídia de leitura) pode contornar o (s) método (s) usado (s) esconder.

score 0 · Answer 2

Que tipo de placa de rede você usa e que tipo de driver é usado? Eu já vejo este tipo de problemas (mas não no Windows), onde por um problema de driver um buffer na placa ethernet estava cheio e o cartão estava enviando pacotes com informações erradas (incluindo endereço MAC de origem)

score 0 · Answer 3

Tente usar o Microsoft Network Monitor (é gratuito) e aplique a regra - "não UDP.Adress=". Você verá quem está enviando quadros malformados.

score 0 · Answer 4

Tente um ipconfig /all de quantas interfaces de rede você vê?

Você está executando algum tipo de aplicativo de balanceamento de carga / cluster?

Existe alguma coisa especial sobre sua NIC? Multi-port, etc?

Você já tentou uma atualização de driver para sua NIC?

A sua empresa de hospedagem pode fornecer o registro de segurança da porta? Observar os endereços MAC que ele está tentando usar pode lhe dar uma dica. Você pode procurar o ID do fornecedor aqui (considerando que 20-20-20 não está registrado para ninguém , algo está acontecendo ...)

score 0 · Answer 5

Se possível, execute um analisador de protocolo nesse servidor, como Wireshark

Isso deve pelo menos lhe dar uma ideia de onde estão vindo os endereços MAC estranhos.

Se realmente vem do seu servidor, talvez você tenha que olhar mais fundo. Esse endereço MAC não parece válido, e você pode ter um processo enviando quadros que não deveriam ser.

Eu também verifico que sua conexão física com o switch do provedor não passa por nenhum switch intermediário que possa estar injetando frames nas portas erradas.

score 0 · Answer 6

O ISP deve ser capaz de dizer quais endereços MAC ele vê quando isso acontece. Eles também devem ser capazes de configurar a porta para permitir somente o endereço MAC que você deseja trabalhar e descartar qualquer outro endereço MAC em vez de desligar a porta.

score 0 · Answer 7

0x202020203c64 é "> d", uma espécie de endereço MAC suspeito. Placa de rede corrompida corrompendo buffers, drivers quebrados ou memória quebrada.

Execute o memtest86 no servidor.

Ou como eles disseram, malware.