Demasiado IP duplicado com o mesmo endereço MAC na saída do arp-scan

Navegue suas respostas
1

A rede da minha empresa é muito instável. Demora tanto tempo para pingar para gateway cerca de 50ms ou superior. Eu fiz alguns problemas para descobrir a causa. Eu tenho que tentar arp-scan quando a rede é instável e ver muitos IP duplicados com o mesmo endereço MAC. Esta é uma seção da saída: 

192.168.6.1 00:1d:xx:xx:xx:xx   xxx Corp.
192.168.6.1 **e8:9a:xx:xx:xx:xx**   Quanta Computer Inc. (DUP: 2)
192.168.6.4 0a:55:xx:xx:xx:xx   (Unknown)
192.168.6.5 0a:55:xx:xx:xx:xx   (Unknown)
192.168.6.10    64:66:xx:xx:xx:xx   (Unknown)
192.168.6.29    50:e5:xx:xx:xx:xx   GIGA-BYTE TECHNOLOGY CO.,LTD.
192.168.6.31    08:9e:xx:xx:xx:xx   (Unknown)
192.168.6.38    30:65:xx:xx:xx:xx   (Unknown)
192.168.6.38    **e8:9a:xx:xx:xx:xx**   Quanta Computer Inc. (DUP: 2)
192.168.6.47    18:03:xx:xx:xx:xx   Dell Inc
192.168.6.62    00:26:xx:xx:xx:xx   Wistron Corporation
192.168.6.77    2a:91:xx:xx:xx:xx   (Unknown)
192.168.6.78    e8:9a:xx:xx:xx:xx   Quanta Computer Inc.
192.168.6.95    40:16:xx:xx:xx:xx   (Unknown)
192.168.6.95    **e8:9a:xx:xx:xx:xx**   Quanta Computer Inc. (DUP: 2)
192.168.6.110   40:16:xx:xx:xx:xx   (Unknown)

Meu gateway é 192.168.6.1. Todas as duplicatas têm o mesmo endereço MAC (MAC in **). Eu acho que é um MAC forjado, porque eu tento encontrar a máquina e desligá-lo, mas minha rede ainda está instável. Eu acho que é um ponto de partida para descobrir o que está acontecendo, mas eu estou tentando continuar.

    
por Luke Nguyen 19.09.2014 / 09:16

3 respostas

1

Dadas as restrições descritas nos comentários acima, tudo que você pode fazer é deixar um ARPping sendo executado nesse endereço MAC e desconectar (e reconectar) os cabos de rede do switchgear, um por um, até o ARPping para.

Quando o ARPping pára, esse é o lead com a parte culpada do kit no final. Sim, isso é altamente prejudicial para as operações de rede; a empresa terá que decidir se persistir com o problema é mais ou menos perturbador do que encontrá-lo.

E sim, todos nós estamos familiarizados com o gerenciamento de negócios que não investirá em melhorias até que haja um Problema terrível - e, em seguida, que ele seja consertado imediatamente. Sinto muito que você tenha um grupo de gerentes; eles são idiotas.

    
por 19.09.2014 / 12:42
0

Isso parece muito com o que a rodada espera que alguém esteja fazendo ARP spoofing para interceptar o tráfego. Isso também pode causar alguma instabilidade, dependendo de como a máquina interceptadora se comporta e se pode acompanhar o tráfego.

O endereço MAC será relacionado a um determinado fabricante de hardware, o que pode ajudá-lo a rastreá-lo, mas também pode ser falsificado.

O endereço MAC suspeito corresponde a qualquer registro ARP não duplicado? Aparece em períodos em que a rede não é instável?

Se alguém estiver usando falsificação de ARP para detectar o tráfego, ele redirecionará o tráfego por conta própria. É bem provável que sua conexão esteja muito ocupada e você possa selecioná-la a partir das luzes piscantes do seu switch, e siga o cabo até elas.

    
por 19.09.2014 / 11:45
0

Você pode implantar arptables em caixas legítimas para filtrar o trafego enquanto você estiver procurando a implantação de switches gerenciados.

    
por 22.09.2014 / 00:35

Tags

Por que o rsync ainda tenta copiar e reclama de espaço insuficiente? Nunca terminando problemas de transação depois da atualização do mysql 5.0-5.6