lease 172.16.0.174 { starts 2 2011/11/22 10:23:11; ends 3 2011/11/23 10:23:11; binding state active; next binding state free; hardware ethernet 6c:50:4d:0e:c8:c0; uid "\000cisco-6c50.4d0e.c8c0-Vl1"; client-hostname "Switch"; } cat /var/lib/dhcpd/dhcpd.leases | grep cisco -A 3 -B 6 | grep lease | wc 1190 3570 24990
Нашел несколько очень странных записей в нашем файле dhcpd.leses. Все образуют один и тот же Mac-адрес. Запрашивает все доступные ips. Он будет получать новую аренду каждую секунду. Теперь он сделал то же самое 4 раза в сети. Как вы можете видеть из записи cat, которая состоит из 1190 записей, связанных с одним и тем же mac-адресом, все с 9:30 утра сегодня утром
Я ожидаю, что наша сеть сканируется. Для доступных ips.
- Что я могу сделать, чтобы узнать, где находится это устройство и что оно делает.
- Кто-нибудь знает о каких-нибудь сканерах, которые бы сделали это?
- Кто-нибудь знает, как отследить это устройство?
- Чтобы увидеть трафик, приходящий на или с этого устройства.
- Способ заблокировать этот mac-адрес в нашей сети.
Я очистил файл аренды и заново установил сервер dhcpd, через 20 минут у нас было еще 120 записей.