Múltiplos PEDIDOS DHCP da mesma caixa - com endereço fornecido

1

Por favor, compartilhe como parar / bloquear / identificar o dispositivo desonesto. O prazo de locação é de 1 hora. Eventualmente eu posso ficar sem endereços. Anexado é dados de log. Meu servidor DHCP fornece um endereço para o Windows 2003 Server SARDIS2 . Não estou claro no endereço MAC longo (16 bytes).

Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: DHCP REQUEST [en0]: 1,52:41:53:20:d0:67:e5:ed:9f:2:0:0:9:0:0:0 <SARDIS2>
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: dhcpd: 192.168.1.49 lease extended to INIT/REBOOT client
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: replying using broadcast IP address
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: replying to 255.255.255.255
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: ACK sent SARDIS2 192.168.1.49 pktsize 300
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: service time 0.001959 seconds
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: DHCP REQUEST [en0]: 1,52:41:53:20:d0:67:e5:ed:9f:2:0:0:8:0:0:0 <SARDIS2>
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: dhcpd: 192.168.1.50 lease extended to INIT/REBOOT client
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: replying using broadcast IP address
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: replying to 255.255.255.255
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: ACK sent SARDIS2 192.168.1.50 pktsize 300
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: service time 0.001705 seconds
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: DHCP REQUEST [en0]: 1,52:41:53:20:d0:67:e5:ed:9f:2:0:0:7:0:0:0 <SARDIS2>
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: dhcpd: 192.168.1.51 lease extended to INIT/REBOOT client
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: replying using broadcast IP address
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: replying to 255.255.255.255
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: ACK sent SARDIS2 192.168.1.51 pktsize 300
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: service time 0.001372 seconds
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: DHCP REQUEST [en0]: 1,52:41:53:20:d0:67:e5:ed:9f:2:0:0:6:0:0:0 <SARDIS2>
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: dhcpd: 192.168.1.52 lease extended to INIT/REBOOT client
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: replying using broadcast IP address
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: replying to 255.255.255.255
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: ACK sent SARDIS2 192.168.1.52 pktsize 300
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: service time 0.001852 seconds
Mar 16 11:53:15 croghan.birchard.org bootpd[1700]: DHCP REQUEST [en0]: 1,52:41:53:20:d0:67:e5:ed:9f:2:0:0:5:0:0:0 <SARDIS2>
    
por birchard tech 16.03.2017 / 21:35

1 resposta

0

Isso não é voltado para resolver seu problema de longo prazo, mas, no curto prazo, reduz seu tempo de aluguel para algo realmente baixo. Esses pedidos estão chegando rapidamente.

O próximo passo é pegar um switch e ver as tabelas de arp do endereço MAC que está fazendo a requisição. Então você pode identificar a porta do switch. Em algum switch gear, é: show arp ou show mac-address-table

Você vai ter que procurar. Você pode começar a interrogar a sua engrenagem para identificar o dispositivo ofensivo.

    
por 17.03.2017 / 03:34

Tags