« FreeBSD サーバで使用できるアンチウィルスソフトウェア | メイン | インターネットで利用できるグループウエアとセキュリティ勧告 »

2004年01月22日

arp: *** moved from *** to *** について

[作成日 2004-01-21 15:04:40]

arp: %d.%d.%d.%d moved from %x:%x:%x:%x:%x:%x to %x:%x:%x:%x:%x:%x:
ARP (あーぷ:Address Resolution Protocol)
arp とはアドレス解決プロトコルとよばれ、MACアドレスとIPアドレスとの関連づけを行うためのプロトコルです。イーサネットにはIPアドレスとは別のMACアドレスというものがあり、世界中のイーサネットで他ノードとアドレスの競合が起こらないように、LANカードなどのインターフェースに割り当てられています。
MACアドレスとIPアドレスとの関連付け、つまり ARPテーブル(「ARPキャッシュ」ともいいます)の情報が変更されるとkernel log messages に以下のように表示されます。

arp: 192.168.0.%d. (1) moved from 00:%x:%x:18:94:00 (2) to 00:90:%x:%x:%x:%x:%x (3) on fxp0(4)

インターフェース、エントリーの (1) IPアドレス (2) (3)MACアドレス (4) タイプ が表示されます。
ただし、sysctl にて、
net.link.ether.inet.log_arp_movements が 1 に設定されていなければ表示されません(デフォルト値です)。
確認方法⇒コマンド sysctl -a

http://www.freebsd.org/cgi/man.cgi?query=sysctl&apropos=0&sektion=8&manpath=FreeBSD+5.3-RELEASE&format=html
その原因については、
【FreeBSD Kernel Interfaces Manual】⇒【DIAGNOSTICS】
http://www.freebsd.org/cgi/man.cgi?query=arp&sektion=4&apropos=0&man
path=FreeBSD+5.3-RELEASE
では、
ARP had a cached value for the ethernet address of the referenced host, but received a reply indicating that the host is at a new address. This can happen normally when host hardware addresses change, or when a mobile node arrives or leaves the local subnet. It can also indicate a problem with proxy ARP. This message can only be issued if the sysctl net.link.ether.inet.log_arp_movements is set to 1, which is the system's default behaviour.
と説明がなされています。URLの一部 FreeBSD+5.3-RELEASE は使用中のOSバージョンに変換します(たぶん文章は同じです)。
ARP の情報は通常、動的なもの(一時的にキャッシュされただけ)であり、MAC アドレス変更後に旧情報は削除されます。但し、arp コマンドを利用し、静的に付加すると、変更できなくなります。
FreeBSDサーバと通信するハードウエア(イーサーネット)を交換した後やモーバイルノードであれば MACアドレスは変化しますが、他にローカルネットワーク侵入者の sniffing 操作の可能性もあります。
ネットワークのパケットモニターについては、シェアウエア network sniffer VIGILをおすすめいたします。
「Proxy ARP」などの詳細情報については、
http://www.atmarkit.co.jp/fnetwork/netcom/arp/arp.html
をご覧下さい。

最近(2004年)、FreeBSD関連のメーリングリストに投稿された質疑(参考)
http://docs.freebsd.org/cgi/mid.cgi?09bd01c3ddbc$9f829070$fa10fea9
(複数回答) Re: arp problem in /var/log/messages
(投稿)Jan 18 Spades arp problem in /var/log/messages
もご覧ください。
CATV, cable modem network と接続したインターフェース上では、起こりうるとの回答があります。

「FreeBSD: arp テーブル溢れに対するセキュリティアドバイザリの発行」
http://slashdot.jp/bsd/03/09/25/072212.shtml?topic=92
でお分かりのように、短時間に多くの arp 要求が送られると、システムのリソース不足を招きシステムが停止するとのことであり、kernel log messagesが多発するネットワーク環境であれば、速やかに、

1. セキュリティパッチによりarp テーブル溢れに対する対策を行う。
2. インターフェース、サーバへの負荷軽減を考える。
3. 移動先のMAC addressが sniffingなどの不正アクセスでないか確認する(たとえば、CATVなどのISPに問合わせる)。

などが必要と考えます。

参考:
「MACアドレス(イーサネット・アドレス)」のメーカ番号を照会するサイト
http://www.coffer.com/mac_find/
たとえば、Prefix 00:50:0fのベンダーは Cisco device 00:50:0f:%x:%x:%x
ですが、Cisco 製品は 00:03:31などのPrefixもあります。
http://www.cisco.com/japanese/warp/public/3/jp/

投稿者 support : 2004年01月22日 16:02

トラックバック

このエントリーのトラックバックURL:
trackbacklink 22

コメント

コメントしてください

サイン・インを確認しました、 . さん。コメントしてください。 (サイン・アウト)

(いままで、ここでコメントしたとがないときは、コメントを表示する前にこのウェブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)


情報を登録する?




 Modified by Toshiaki YAMAMURA    Powered by Movable Type
 ■シックス・アパート株式会社より「個人用ライセンス」を取得し、Movable Type にて情報提供中です. ■ハンドル名とメールアドレスを入力すると、自由にコメント投稿できます. 但し、15歳未満のお子供は必ず保護者の指導・監督下で行って下さい. ■本ウエブログでは、サイト管理・運営者が著しく不利益と判断するコメントや他人を誹謗中傷するコメントは、直ちに削除いたします.