lease 172.16.0.174 {
  starts 2 2011/11/22 10:23:11;
  ends 3 2011/11/23 10:23:11;
  binding state active;
  next binding state free;
  hardware ethernet 6c:50:4d:0e:c8:c0;
  uid "\000cisco-6c50.4d0e.c8c0-Vl1";
  client-hostname "Switch";
}
 cat /var/lib/dhcpd/dhcpd.leases | grep cisco -A 3 -B 6 | grep lease | wc
   1190    3570   24990

Нашел несколько очень странных записей в нашем файле dhcpd.leses. Все образуют один и тот же Mac-адрес. Запрашивает все доступные ips. Он будет получать новую аренду каждую секунду. Теперь он сделал то же самое 4 раза в сети. Как вы можете видеть из записи cat, которая состоит из 1190 записей, связанных с одним и тем же mac-адресом, все с 9:30 утра сегодня утром

Я ожидаю, что наша сеть сканируется. Для доступных ips.

  • Что я могу сделать, чтобы узнать, где находится это устройство и что оно делает.
  • Кто-нибудь знает о каких-нибудь сканерах, которые бы сделали это?
  • Кто-нибудь знает, как отследить это устройство?
  • Чтобы увидеть трафик, приходящий на или с этого устройства.
  • Способ заблокировать этот mac-адрес в нашей сети.

Я очистил файл аренды и заново установил сервер dhcpd, через 20 минут у нас было еще 120 записей.

2 ответа2

1

Чтобы отследить это, проверьте свои переключатели. Начните с коммутатора, к которому подключен сервер dhcp. Если вы используете коммутаторы Cisco, то сделайте

show mac-address-table | inc 6c:50:4d:0e:c8:c0

Это покажет порты, на которых был виден MAC-адрес. Если это прямой порт коммутатора, выясните, что к нему подключено.

Если это магистральный порт или иным образом подключен к другому коммутатору, перейдите к этому коммутатору и повторите процесс. В конце концов вы найдете устройство, выдающее запросы dhcp.

Идея неконтролируемого переключения возможна. Если вы используете ip helper (dhcp relay) на vlan, и коммутатор неправильно подставляет свой собственный mac-адрес в полезную нагрузку dhcp (не заголовок ethernet), то это будет выглядеть именно так. Однако, учитывая, что вы заблокировали Mac в iptables, если бы это было так, у вас был бы целый сегмент вашей сети, неспособный получить IP-адреса. Вы, наверное, уже знаете об этом.

0

http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

/sbin/iptables -A INPUT -m mac --mac-source 6c:50:4d:0e:c8:c0 -j DROP

iptables -L -n -v
Chain INPUT (policy ACCEPT 1029M packets, 460G bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 654M packets, 1067G bytes)
 pkts bytes target     prot opt in     out     source               destination 

/sbin/iptables -A INPUT -m mac --mac-source 6c:50:4d:0e:c8:c0 -j DROP

 iptables -L -n -v
Chain INPUT (policy ACCEPT 1029M packets, 460G bytes)
 pkts bytes target     prot opt in     out     source               destination         
   26  8468 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 6C:50:4D:0E:C8:C0 

Оттуда вы можете видеть, что теперь он блокирует 26 пакетов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .