Questão dhcp.lease mostrando entradas estranhas


arrendamento 172.16.0.174 {
  começa em 2 2011/11/22 10:23:11;
  termina 3 2011/11/23 10:23:11;
  estado de ligação ativo;
  próximo estado de ligação livre;
  Ethernet de hardware 6c: 50: 4d: 0e: c8: c0;
  uid "\ 000cisco-6c50.4d0e.c8c0-Vl1";
  client-hostname "Switch";
}
 cat /var/lib/dhcpd/dhcpd.leases | grep cisco -A 3-B 6 | arrendamento grep | banheiro
   1190 3570 24990

Encontrei algumas entradas muito estranhas em nosso arquivo dhcpd.leses. Todos formam o mesmo endereço MAC. Consulta todos os ips disponíveis. Receberá uma nova concessão a cada segundo. Agora ele fez a mesma coisa 4 vezes na rede. Como você pode ver na entrada do gato, há 1190 entradas todas vinculadas ao mesmo endereço mac, todas desde as 9h30 da manhã.

Espero que nossa rede esteja sendo escaneada. Para ips disponíveis.

  • O que posso fazer para descobrir onde este dispositivo está e o que está fazendo?
  • Algum corpo sabe de alguns scanners de venerabilidade que fariam isso.
  • Algum corpo sabe de uma maneira de rastrear este dispositivo.
  • Para ver o tráfego que chega ou sai desse dispositivo.
  • Uma maneira de bloquear esse endereço mac em nossa rede.

Limpei o arquivo de aluguel e reformei o servidor dhcpd, em 20 minutos tivemos outras 120 entradas.


0


origem


Bloquear / colocar na lista negra o MAC e ver quem reclama? BOFH! ;) - HaydnWVN
@haydnwvn Estou mais preocupado que isso seja alguma atividade maliciosa. Eu gostaria de fazer mais do que apenas fechar a porta depois que ela foi aberta. Eu quero impedir que a porta seja aberta. superuser.com/q/360238/67952 - nelaaro
Esse é um ID de fornecedor da Cisco, talvez um switch desonesto? - charlesbridge
@nelaar não iria 'colocar na lista negra' o endereço MAC conseguir isso? - HaydnWVN
@HaydnWVN, se alguém é maliciosamente sondando a rede, eles podem simplesmente mudar para outro endereço MAC se ele estiver na lista negra. - Michael Kjörling


Respostas:


Para rastrear isso, verifique seus comutadores. Comece com o switch ao qual o servidor dhcp está conectado. Se você estiver usando switches da Cisco, faça

show mac-address-table | inc 6c:50:4d:0e:c8:c0

Isto irá mostrar as portas que o endereço MAC foi visto. Se for uma porta de switch reta, descubra o que está conectado a ela.

Se for uma porta de tronco, ou de outro modo conectado a outro switch, vá para o switch e repita o processo. Eventualmente, você encontrará o dispositivo que está emitindo as solicitações do dhcp.

A idéia de troca de ladino é uma possibilidade. Se você estiver usando ip helper (dhcp relay) em um vlan, e o switch está substituindo incorretamente seu próprio endereço mac na carga útil do dhcp (não no cabeçalho ethernet), então seria exatamente assim. No entanto, dado que você bloqueou o mac no iptables, se este fosse o caso, você teria um segmento inteiro da sua rede incapaz de obter endereços IP. Você provavelmente já saberia disso agora.


1



Nenhum corpo se queixou até agora. Irá investigar os roteadores / switches próximos ao servidor para encontrar a fonte. Nossa rede é simples e não atribuímos ip através de vlans. - nelaaro
Excelente, deve ser fácil rastrear então. - Paul


http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

/ sbin / iptables -A INPUT -m mac --mac-fonte 6c: 50: 4d: 0e: c8: c0 -j DROP

iptables -L -n -v
Chain INPUT (política ACCEPT 1029M pacotes, 460G bytes)
 pkts bytes destino prot opt ​​out destino de origem

Cadeia FORWARD (política ACCEPT 0 pacotes, 0 bytes)
 pkts bytes destino prot opt ​​out destino de origem

Saída Chain (pacotes ACCEPT 654M, 1067G bytes)
 pkts bytes destino prot opt ​​out destino de origem

/ sbin / iptables -A INPUT -m mac --mac-fonte 6c: 50: 4d: 0e: c8: c0 -j DROP

 iptables -L -n -v
Chain INPUT (política ACCEPT 1029M pacotes, 460G bytes)
 pkts bytes destino prot opt ​​out destino de origem
   26 8468 QUEDA todos - * * 0.0.0.0/0 0.0.0.0/0 MAC 6C: 50: 4D: 0E: C8: C0

De lá você pode ver que agora bloqueia 26 pacotes.


0