dhcp.silakan tampilkan entri aneh

0 
lease 172.16.0.174 {
  starts 2 2011/11/22 10:23:11;
  ends 3 2011/11/23 10:23:11;
  binding state active;
  next binding state free;
  hardware ethernet 6c:50:4d:0e:c8:c0;
  uid "\000cisco-6c50.4d0e.c8c0-Vl1";
  client-hostname "Switch";
}
 cat /var/lib/dhcpd/dhcpd.leases | grep cisco -A 3 -B 6 | grep lease | wc
   1190    3570   24990

Menemukan beberapa entri yang sangat aneh di file dhcpd.leses kami. Semua membentuk alamat mac yang sama. Itu permintaan untuk semua ips yang tersedia. Ini akan mendapatkan sewa baru setiap detik. Sekarang telah melakukan hal yang sama 4 kali di jaringan. Seperti yang dapat Anda lihat dari entri kucing yang 1190 entri semua tertaut ke alamat mac yang sama, semua sejak 9:30 pagi ini.

Saya berharap jaringan kami sedang dipindai. Untuk ips yang tersedia.

  • Apa yang bisa saya lakukan untuk mencari tahu di mana perangkat ini dan apa yang dilakukannya.
  • Apakah ada yang tahu beberapa pemindai terhormat yang akan melakukan ini.
  • Apakah ada yang tahu cara melacak perangkat ini?
  • Untuk melihat lalu lintas yang datang ke atau dari perangkat itu.
  • Cara untuk memblokir alamat mac itu di jaringan kami.

Saya membersihkan file sewa dan memulai kembali server dhcp, dengan dalam 20 menit kami memiliki 120 entri lagi.

security ip dhcp dhcp-server nelaaro
sumber
Blokir / blacklist MAC dan lihat siapa yang mengeluh? BOFH! ;)
HaydnWVN
@ haydnwvn Saya lebih khawatir bahwa ini adalah beberapa aktivitas berbahaya. Saya ingin melakukan lebih dari hanya menutup pintu setelah dibuka. Saya ingin menghentikan pintu dibuka. superuser.com/q/360238/67952
nelaaro
Itu adalah id vendor Cisco, mungkin switch nakal?
charlesbridge
@nelaar tidak akan 'memasukkan daftar hitam' ke alamat MAC?
HaydnWVN
1
@HaydnWVN, jika seseorang aku s menyelidiki jaringan dengan jahat, mereka hanya dapat beralih ke alamat MAC lain jika yang itu masuk daftar hitam.
a CVn

Jawaban:

1

Untuk melacak ini, periksa sakelar Anda. Mulai dengan sakelar yang dilampirkan oleh server dhcp. Jika Anda menggunakan switch Cisco, maka lakukanlah 

show mac-address-table | inc 6c:50:4d:0e:c8:c0

Ini akan menampilkan port-port tempat alamat mac terlihat. Jika ini adalah port switch lurus, maka cari tahu apa yang dicolokkan ke dalamnya.

Jika itu adalah port trunk, atau terhubung ke switch lain, maka pergi ke switch itu dan ulangi prosesnya. Akhirnya Anda akan menemukan perangkat mengeluarkan permintaan dhcp.

Gagasan pergantian nakal adalah suatu kemungkinan. Jika Anda menggunakan ip helper (relay dhcp) pada vlan, dan switch salah memasukkan alamat mac-nya sendiri di payload dhcp (bukan header ethernet) maka akan terlihat persis seperti ini. Namun, mengingat Anda telah memblokir mac di iptables, jika ini masalahnya, Anda akan memiliki seluruh segmen jaringan Anda tidak dapat mendapatkan alamat ip. Anda mungkin sudah tahu tentang itu sekarang.

Paul
sumber
Sejauh ini tidak ada yang mengeluh. Akan menyelidiki router / switch di dekat server untuk menemukan sumbernya. Jaringan kami sederhana, dan kami tidak menetapkan ip lintas vlan.
nelaaro
Luar biasa, itu seharusnya mudah dilacak.
Paul
0

http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

/ sbin / iptables -A INPUT -m mac --mac-source 6c: 50: 4d: 0e: c8: c0 -j DROP 

iptables -L -n -v
Chain INPUT (policy ACCEPT 1029M packets, 460G bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 654M packets, 1067G bytes)
 pkts bytes target     prot opt in     out     source               destination 

/sbin/iptables -A INPUT -m mac --mac-source 6c:50:4d:0e:c8:c0 -j DROP

 iptables -L -n -v
Chain INPUT (policy ACCEPT 1029M packets, 460G bytes)
 pkts bytes target     prot opt in     out     source               destination         
   26  8468 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 6C:50:4D:0E:C8:C0

Dari sana Anda bisa melihatnya sekarang telah memblokir 26 paket.

nelaaro
sumber