Neighbour table overflow in kernel.log ?

[com23]

Hi,

unser Komunikationsserver läuft mit einem 24x Kernel mit RedHat 8.0 Distr.
folgende Fehlermeldung wird mehrmals pro Minute in der kernel.log eingetragen:

Feb 10 12:59:38 comserver kernel: NET: 175 messages suppressed.
Feb 10 12:59:38 comserver kernel: Neighbour table overflow.

Ich hoffe mir kann jemand erklären worum es sich hierbei handelt. Ich kann nicht entnehmen was oder wer diesen Eintrag verursacht. Hab keinen Anhaltspunkt. groups.google.de hilft mir nicht weiter!

Danke für die Hilfe.
Gruß
Daniel

[dodolin]

Die erste Meldung sagt, dass dein Kernel soviele Messages (vermutlich ICMP destination unreachable) unterdrückt hat, weil laut RFC pro Source-Host nur X ICMP destination unreachable pro Zeit verschickt werden dürfen. Das könnte auf einen sehr agressiven Portscan oder eine DoS-Attacker oder einen Traffic-Flood hinweisen, muss aber nicht.

Zum 2. guck dir mal den kompletten Thread hier an:
http://lists.netfilter.org/pipermail/ne ... 28659.html

Eventuell ein arp-storm, könnte das bei dir der Fall sein?

BTW: An meiner Uni gibts aktuell auch gerade Probleme, es wird vermutet, dass das mit den neuen Wurm-Varianten zusammenhängt, die das ganze Internet nach den Backdoors von MyDoom und Co. absuchen, um sich einzunisten...

[com23]

Hi,

danke für die schnelle Antwort!

Nehmen wir mal an, das ganze würde sich um einen gigantischen Portscan etc. handeln. Wir hängen an einer Breitbandleitung (1 feste IP), somit wäre das gar nicht mal abwägig. Wenn ich das Internetface mit dem Internet herunterfahre, bleiben auch die Meldungen fern.

Unsere Firewall (iptables) zeigen keine abnormalen Logeinträge. tcpdump gibt ab und an diese Einträge zurück:

15:01:38.188109 arp who-has 40.129.88.185 tell 194.173.30.10
15:01:38.188230 arp who-has 40.129.88.186 tell 194.173.30.10
15:01:38.188339 arp who-has 40.129.88.187 tell 194.173.30.10
15:01:38.188434 arp who-has 40.129.88.188 tell 194.173.30.10
15:01:38.188550 arp who-has 40.129.88.189 tell 194.173.30.10
15:01:38.188642 arp who-has 40.129.88.190 tell 194.173.30.10
15:01:38.188749 arp who-has 40.129.88.191 tell 194.173.30.10
15:01:38.188845 arp who-has 40.129.88.192 tell 194.173.30.10
15:01:38.188934 arp who-has 40.129.88.193 tell 194.173.30.10
15:01:38.189038 arp who-has 40.129.88.194 tell 194.173.30.10

Diese IP Adressen wechseln von Zeit zu Zeit, ein PING auf diese Adressen ist nicht möglich.

Frage: Wie kann ich diesen eventuellen Portscan verhindern? Wie kann ich darüber mehr erfahren?

Gruß
Daniel

[dodolin]

Wir hängen an einer Breitbandleitung

Genau das wurde in obigem Thread IIRC auch berichtet, dass solche arp-storm hauptsächlich bei manchen Breitband-Anbietern auftreten. Du könntest also höchstens deinen ISP kontaktieren, ich glaube aber kaum, dass er was ändern wird.

Frage: Wie kann ich diesen eventuellen Portscan verhindern?

Ist kein Portscan, ist ne Ebene (Ethernet) tiefer. Es scheint halt riesige Broadcastdomains zu geben, die nicht gegenseitig abgeschottet werden, sodass hier ständig die arp-Anfragen hin- und hergeschickt werden...

[com23]

tcpdump: listening on eth1
15:39:33.855262 255.97.105.251 > 255.235.48.128: atp-req* 3180<0> [len=17] 0x5170000
15:39:34.082264 255.97.105.251 > 255.235.48.129: atp-req 63364<0> [len=17] 0x217eb17
15:39:34.082434 255.235.48.129 > 255.97.105.251: atp-resp*63364:0 (17)
15:39:34.083188 255.97.105.251 > 255.235.48.129: atp-rel 63364<0> [len=17]

Damit hast du recht (siehe oben).
Um hier etwas ins Detail zu gehen:

Am Server(Router) hängen 3 Netzwerkkarten drin:
eth0: internes Netzwerk Firma A
eth1: internes Netzwerk Firma B
eth2: direkter Zugang zum Internet

Folgende Konfiguration gilt für eth0 und eth1:

/etc/sysconfig/network-scripts/ifcfg-eth0

MTU=""
NETMASK=255.255.255.0
BROADCAST=""
BOOTPROTO=none
IPADDR=192.168.1.1
NETWORK=192.168.1.0
ONBOOT=yes
DEVICE=eth0

/etc/sysconfig/network-scripts/ifcfg-eth1

MTU=""
NETMASK=255.255.255.0
BROADCAST=""
BOOTPROTO=none
IPADDR=192.168.10.1
NETWORK=192.168.10.0
ONBOOT=yes
DEVICE=eth1

Ich denke das Ganze handelt sich hier um ein internes Problem mit der Kommunikation dieser zweier Netzwerke. Ich habe mithilfe der Firewall eventuelle Eingehende Pakete geloggt und festgestellt, dass realtiv wenig Pakete reinkommen und wenn, nur authorisierte. Firewall ist wie gesagt vorhanden, eventuell kann ich mithilfe der Firewall die Kommunikation zwischen den beiden Karten so einschränken, dass diese endlosen arp Anfragen gestoppt werden?

Bin dankbar für jede Hilfe,
Gruß Daniel