Dispositivo desconhecido na rede com portas estranhas abertas. Tentando encontrar

Navegue suas respostas
1

Situação:

Recentemente, desativamos o DHCP em favor de endereços IP fixos e, no meio do antigo intervalo DHCP do segmento de rede herdado, encontramos um dispositivo respondendo ao ping, mas sem nenhum de nossos serviços normais de acesso remoto em execução (SSH, RDP, SMB / etc).

A identificação da versão NMap não consegue encontrar nada e obtemos os seguintes resultados: 

PROTOCOL STATE         SERVICE
1        open          icmp
4        open|filtered ip
6        open          tcp
17       open          udp
66       open|filtered rvd
96       open|filtered scc-sp
136      open|filtered unknown
157      open|filtered unknown
214      open|filtered unknown
235      open|filtered unknown
251      open|filtered unknown
MAC Address: B8:AC:6F:95:06:64 (Dell)

Não recuperamos nada ao nos conectarmos a nenhuma dessas portas abertas, e não há documentação de que qualquer dispositivo esteja lá. Todos os nossos dispositivos conhecidos são documentados, então a existência deste dispositivo é um mistério.

Eu não gosto de dispositivos misteriosos.

Perguntas:

Alguém sabe que dispositivo pode ter todas essas portas estranhas abertas?

Temos muitas estações de trabalho e servidores DELL, mas verificamos todos os recursos conhecidos.

Alguém pode sugerir uma maneira de acessar o dispositivo?

Ou, alguém pode sugerir como encontrá-lo fisicamente além de puxar cabos de vários segmentos de hub até que ele fique inacessível e diminua a partir daí?

    
por ryandenki 06.04.2012 / 08:16

2 respostas

4

É por isso que eu não me incomodo com switches não gerenciados atualmente ... é muito prático ser capaz de perguntar ao meu mapa de rede gerado pelo SMNP "de qual porta esse endereço MAC está vindo?".

Como parece que você está em um ambiente de escritório, eu apenas esperaria até que todos estivessem fora de casa e começassem a puxar os cabos - essa é a opção mais simples. Se isso realmente não servir, acione um ping de inundação para o dispositivo e persiga o caminho procurando as luzes de link das portas que estão enlouquecendo e persiga de lá.

Quanto a "o que é isso?", você realmente não deu nenhuma informação útil para continuar. O fato de o nmap dizer que ele responde ao ICMP, UDP e TCP não é novidade - não há muitos dispositivos com capacidade para IP que não funcionem. Você deseja mapear as portas TCP e UDP que estão abertas, em vez dos protocolos.

    
por 06.04.2012 / 08:58
3

Números exibidos não são as portas abertas, ou seja, os IDs familiares do protocolo. Seu dispositivo passa todos os pacotes icmp / tcp / udp e bloqueia alguns pacotes ip (provavelmente ARP).

Isso pode ser um ponto de acesso WiFi agindo no modo de comutação sem fio - sem endereço IP, sem serviços iniciados.

    
por 06.04.2012 / 09:05

Tags

É uma boa prática permitir todas as portas do resultado netstat, colocando-as em iptables várias sub-redes na mesma porta do Cisco Switch