dhcp.lease mostrando entradas estranhas

Navegue suas respostas
0
lease 172.16.0.174 {
  starts 2 2011/11/22 10:23:11;
  ends 3 2011/11/23 10:23:11;
  binding state active;
  next binding state free;
  hardware ethernet 6c:50:4d:0e:c8:c0;
  uid "
lease 172.16.0.174 {
  starts 2 2011/11/22 10:23:11;
  ends 3 2011/11/23 10:23:11;
  binding state active;
  next binding state free;
  hardware ethernet 6c:50:4d:0e:c8:c0;
  uid "%pre%0cisco-6c50.4d0e.c8c0-Vl1";
  client-hostname "Switch";
}
 cat /var/lib/dhcpd/dhcpd.leases | grep cisco -A 3 -B 6 | grep lease | wc
   1190    3570   24990


0cisco-6c50.4d0e.c8c0-Vl1";
  client-hostname "Switch";
}
 cat /var/lib/dhcpd/dhcpd.leases | grep cisco -A 3 -B 6 | grep lease | wc
   1190    3570   24990

Encontrou algumas entradas muito estranhas em nosso arquivo dhcpd.leses. Todos formam o mesmo endereço MAC. Consulta todos os ips disponíveis. Receberá uma nova concessão a cada segundo. Agora ele fez a mesma coisa 4 vezes na rede. Como você pode ver na entrada do gato, há 1190 entradas todas vinculadas ao mesmo endereço mac, todas desde as 9h30 da manhã.

Espero que a nossa rede esteja sendo digitalizada. Para ips disponíveis.

  • O que posso fazer para descobrir onde esse dispositivo está e o que ele está fazendo.
  • Algum corpo sabe de alguns scanners de venerabilidade que fariam isso.
  • Alguém sabe de uma maneira de rastrear esse dispositivo?
  • Para ver o tráfego que chega ou sai desse dispositivo.
  • Uma maneira de bloquear esse endereço mac em nossa rede.

Limpei o arquivo da concessão e reformei o servidor dhcpd, em 20 minutos tivemos outras 120 entradas.

    
por nelaaro 22.11.2011 / 11:58

2 respostas

1

Para rastrear isso, verifique seus switches. Comece com o switch ao qual o servidor dhcp está conectado. Se você estiver usando switches da Cisco, faça 

show mac-address-table | inc 6c:50:4d:0e:c8:c0

Isto irá mostrar as portas que o endereço MAC foi visto. Se for uma porta de switch reta, descubra o que está conectado a ela.

Se for uma porta de tronco, ou de outro modo conectado a outro switch, vá para o switch e repita o processo. Eventualmente, você encontrará o dispositivo que está emitindo as solicitações do dhcp.

A ideia de troca de ladino é uma possibilidade. Se você está usando ip helper (dhcp relay) em um vlan, e o switch está substituindo incorretamente o seu próprio endereço mac na carga útil do dhcp (não no cabeçalho ethernet), então seria exatamente assim. No entanto, dado que você bloqueou o mac no iptables, se este fosse o caso, você teria um segmento inteiro da sua rede incapaz de obter endereços IP. Você provavelmente já sabe disso agora.

    
por 22.11.2011 / 14:04
0

link

/ sbin / iptables -A INPUT -m mac --mac-fonte 6c: 50: 4d: 0e: c8: c0 -j DROP 

iptables -L -n -v
Chain INPUT (policy ACCEPT 1029M packets, 460G bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 654M packets, 1067G bytes)
 pkts bytes target     prot opt in     out     source               destination 

/sbin/iptables -A INPUT -m mac --mac-source 6c:50:4d:0e:c8:c0 -j DROP

 iptables -L -n -v
Chain INPUT (policy ACCEPT 1029M packets, 460G bytes)
 pkts bytes target     prot opt in     out     source               destination         
   26  8468 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 6C:50:4D:0E:C8:C0

De lá, você pode ver que agora bloqueia 26 pacotes.

    
por 22.11.2011 / 12:35

Tags

Não é possível compartilhar 3G via ICS e roteador? Vida útil da bateria no netbook com o Linux Mint 10 vs 11