R: R: [ml] strana attività arp

>purtroppo non ho molti dettagli sulla rete poiché non la gestisco io.
>Anyway è la tipica rete di un datacenter: la mia macchina è collegata
>ad uno switch
>il quale è collegato a 2 cisco pix rindodati (credo).
>Esiste una vlan al quale sono collegati altri server oltre al mio però
>non ho la minima
>idea di quanti siano le porte dedicate alla vlan oltre a quella dedicata a
>me.

In effetti la situazione è molto diversa da quella che mi ero immaginato, ma
la sostanza non cambia, il tuo server riceve del traffico che non dovrebbe
ricevere, il che vuol dire che non è stata fatta una adeguata separazione
delle varie reti nella location.

>Se il mio server è collegato ad uno switch questo dovrebbe accedere
>solo se viene condotto
>un attacco di arp-poisoning no? Oppure usando ettercap...

Se non esiste una separazione fisica delle varie sottoreti gestite nella
location ciascuno riceve quantomeno i broadcast destinati agli altri, che
sono poi la causa del tuo problema, per quanto riguarda il traffico unicast
serve uno strumento tipo ettercap e un attacco tipo arp-poisoning per poter
vedere il traffico altrui.
Ricordati che quello che vale per te vale anche per gli altri, ergo se i
tuoi compagni di "co-location" decidono di sniffare il tuo traffico lo
possono fare.

>Quindi dovrei supporre che il mio server sia stato compromesso e
>qualcuno abbia installato un proxy arp?

Assolutamente no, o quantomeno non è automatico, proxy arp è una
funzionalità che è presente in quasi tutti gli stack ip che si rispettino,
la cosa da verificare è se sia attiva di default sul tuo particolare sistema
operativo o se è stata attivata manualmente.
Mi sembra di capire che sul tuo server gira linux, googlando ho trovato
questo link che potrebbe aiutarti, ma facendo altre ricerche puoi trovare di
meglio: http://www.sjdjweis.com/linux/proxyarp/
Ciao,
     Massimo.