Como encontrar uma máquina desonestos na sua rede com o endereço IP errado

2

Eu continuo a bloquear meu equipamento de rede usando os padrões DISA. Depois de implementar uma ACL em um comutador de várias camadas que nega acesso a sub-redes desconhecidas, o servidor syslog começou a registrar dois endereços IP a cada 7 minutos que estão sendo bloqueados. Os endereços IP estão na rede 169.254.0.0 / 16. Isso parece indicar que as máquinas usaram um endereço local de link, provavelmente porque não tinham um endereço IP definido (nenhum DHCP nessa rede isolada). Sem tocar fisicamente em cada máquina, existe uma maneira de descobrir em quais portas esses pacotes estão chegando? O switch multicamadas é uma pilha de Cisco 3750Gs com canal ether de pilha cruzada para 4 Cisco 2960Gs.

    
por murisonc 24.11.2010 / 00:15

2 respostas

1

Normalmente, o seu log de detecção de invasão para um endereço IP não autorizado listaria o MAC, mas, como isso não acontece, você pode tentar o seguinte.

Faça o login no seu dispositivo Cisco. Ping o IP desonesto. Claro, se você ACL está bloqueando o acesso, isso pode ser problemático.

ping 169.254.X.X

Esperamos que o endereço MAC do dispositivo entre na tabela ARP da Cisco.

show arp | include 169.254.X.X

Isso listará o endereço MAC e o IP ao qual está associado. Será algo parecido com:

Internet 169.254.X.X 0 2222.aaaa.bbbb ... 

Onde 2222.aaaa.bbbb é o endereço MAC.

Finalmente execute:

show mac-address-table dynamic | include 2222.aaaa.bbbb

Para mostrar a porta. Onde 2222.aaaa.bbbb é o endereço mac.

    
por 24.11.2010 / 02:35
0
show mac-address-table dynamic

Isso mostrará os mapeamentos MAC-para-porta.

    
por 24.11.2010 / 00:20