pfsense MAC único está listado com vários IP's na tabela ARP

3

Eu tenho esse problema: preenchimento da tabela arp

Mas tenho certeza de que não posso culpar o Kaspersky.

Scenarie:

  • um usuário conecta seu computador.
  • Ele espera e aguarda, mas não recebe IP por DHCP.
  • Então ele é informado de que há um conflito de IP ...
  • Ele acaba atribuindo a si mesmo um IP estático para acessar a rede

Na tabela ARP do roteador, vejo:

192.168.24.144  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.145  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.181  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.150  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.151  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.152  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.156  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.157  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.159  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.160  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.130  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.132  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.164  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.137  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.140  00:16:41:42:3c:9e   Lenovo  LAN
192.168.24.206  00:16:41:42:3c:9e   Lenovo  LAN

O último .206 é o endereço estático que ele deu a si mesmo.

Vários usuários descrevem exatamente o mesmo problema. Ele começou depois de remover alguns filtros nos switches, pois todos os usuários estão em uma LAN e podem se ver. Antes, quando os filtros bloqueavam o acesso aos computadores uns dos outros, ninguém relatava esse tipo de comportamento.

UPDATE

Enquanto um cliente tenta se conectar, a tabela ARP é preenchida. Depois de algum tempo, verifiquei a tabela ARP em que a listagem múltipla foi removida novamente. Também verifiquei as concessões de DHCP em que nenhum dos IPs estava listado como ativo ou expirado. Portanto, parece que um IP nunca foi atribuído mesmo que tenha sido criada uma entrada ARP na tabela ARP

UPDATE2

Acabei de substituir o roteador e o problema não foi relatado novamente. Obrigado por todos os comentários

    
por Tillebeck 25.06.2012 / 22:51

1 resposta

4

Você consegue localizar esse computador com esse mac? É possível que exista um vírus / worm nessa máquina, assumindo todos os IPs. Verifique os logs do dhcp também. Outra possibilidade é que alguém esteja executando algumas ferramentas de hacking / DoS. Verifique a máquina com o antivírus.

Outra possibilidade é que este é um tablet / telefone Android que envia uma solicitação dhcp, mas nunca libera o IP antigo, e acaba usando todos os IPs no intervalo dhcp. Este era um bug conhecido em algumas versões / implementações do Android.

A terceira posibilidade é que alguém está executando um proxy ARP nessa máquina por uma boa / má razão e está respondendo a todas as solicitações ARP.

Antes que você possa encontrar e isolar a máquina com esse mac, podemos adivinhar.

    
por 25.06.2012 / 22:56