lease 172.16.0.174 { starts 2 2011/11/22 10:23:11; ends 3 2011/11/23 10:23:11; binding state active; next binding state free; hardware ethernet 6c:50:4d:0e:c8:c0; uid "\000cisco-6c50.4d0e.c8c0-Vl1"; client-hostname "Switch"; } cat /var/lib/dhcpd/dhcpd.leases | grep cisco -A 3 -B 6 | grep lease | wc 1190 3570 24990
Menemukan beberapa entri yang sangat aneh di file dhcpd.leses kami. Semua membentuk alamat mac yang sama. Itu permintaan untuk semua ips yang tersedia. Ini akan mendapatkan sewa baru setiap detik. Sekarang telah melakukan hal yang sama 4 kali di jaringan. Seperti yang dapat Anda lihat dari entri kucing yang 1190 entri semua tertaut ke alamat mac yang sama, semua sejak 9:30 pagi ini.
Saya berharap jaringan kami sedang dipindai. Untuk ips yang tersedia.
- Apa yang bisa saya lakukan untuk mencari tahu di mana perangkat ini dan apa yang dilakukannya.
- Apakah ada yang tahu beberapa pemindai terhormat yang akan melakukan ini.
- Apakah ada yang tahu cara melacak perangkat ini?
- Untuk melihat lalu lintas yang datang ke atau dari perangkat itu.
- Cara untuk memblokir alamat mac itu di jaringan kami.
Saya membersihkan file sewa dan memulai kembali server dhcp, dengan dalam 20 menit kami memiliki 120 entri lagi.
security
ip
dhcp
dhcp-server
nelaaro
sumber
sumber
Jawaban:
Untuk melacak ini, periksa sakelar Anda. Mulai dengan sakelar yang dilampirkan oleh server dhcp. Jika Anda menggunakan switch Cisco, maka lakukanlah
Ini akan menampilkan port-port tempat alamat mac terlihat. Jika ini adalah port switch lurus, maka cari tahu apa yang dicolokkan ke dalamnya.
Jika itu adalah port trunk, atau terhubung ke switch lain, maka pergi ke switch itu dan ulangi prosesnya. Akhirnya Anda akan menemukan perangkat mengeluarkan permintaan dhcp.
Gagasan pergantian nakal adalah suatu kemungkinan. Jika Anda menggunakan
ip helper
(relay dhcp) pada vlan, dan switch salah memasukkan alamat mac-nya sendiri di payload dhcp (bukan header ethernet) maka akan terlihat persis seperti ini. Namun, mengingat Anda telah memblokir mac di iptables, jika ini masalahnya, Anda akan memiliki seluruh segmen jaringan Anda tidak dapat mendapatkan alamat ip. Anda mungkin sudah tahu tentang itu sekarang.sumber
http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
/ sbin / iptables -A INPUT -m mac --mac-source 6c: 50: 4d: 0e: c8: c0 -j DROP
Dari sana Anda bisa melihatnya sekarang telah memblokir 26 paket.
sumber