Dhcp.lease, показывающие странные записи

 Аренда 172.16.0.174 {
   Начинается 2 2011/11/22 10:23:11;
   Заканчивается 3 2011/11/23 10:23:11;
   Активное состояние связи;
   Следующее обязательное государство бесплатно;
   Hardware ethernet 6c: 50: 4d: 0e: c8: c0;
   Uid "\ 000cisco-6c50.4d0e.c8c0-Vl1";
   Client-hostname «Switch»;
 }
  Cat /var/lib/dhcpd/dhcpd.leases |  Grep cisco -A 3 -B 6 |  Аренда снегоходов |  Туалет
    1190 3570 24990

Нашли некоторые очень странные записи в нашем файле dhcpd.leses. Все формы одного и того же MAC-адреса. Он запрашивает все доступные ips. Он будет получать новую аренду каждую секунду. Теперь он сделал то же самое 4 раза в сети. Как вы можете видеть из записи кошки, которая составляет 1190 записей, связанных с одним и тем же адресом mac, все это с 9:30 утра этим утром.

Я ожидаю, что наша сеть будет отсканирована. Для доступных ips.

  • Thunderbird: Ошибка: imap.server.com: сервер не поддерживает RFC 5746, см. CVE-2009-3555
  • Легкий способ передачи закрытого ключа на другой компьютер?
  • Как настроить беспроводную сеть для обеспечения максимальной безопасности?
  • Нужно ли иметь кодовую фразу для моего ключа SSA SSH?
  • Безопасная настройка домашней беспроводной сети
  • Менеджер паролей для нескольких компьютеров?
    • Что я могу сделать, чтобы узнать, где это устройство и что он делает.
    • Означает ли какое-либо тело какие-то сканеры почтения, которые это сделают.
    • Любое тело знает способ отслеживать это устройство.
    • Для просмотра трафика, поступающего на это устройство или с него.
    • Способ блокировки этого MAC-адреса в нашей сети.

    Я очистил файл аренды и пересчитал сервер dhcpd, через 20 минут у нас было еще 120 записей.

  • Есть ли способ проверить, посылает ли LittleSnitch мои личные данные кому-то плохому чуваку?
  • Странные хиты на порту 2703
  • Каковы причины отказа ICMP на моем сервере?
  • Что делает Secure Login (CTRL + ALT + DEL) безопасным?
  • Знает ли сервер DHCP о статических IP-адресах?
  • Dnsmasq без изменения файла / etc / hosts вручную
  • 2 Solutions collect form web for “Dhcp.lease, показывающие странные записи”

    Чтобы отслеживать это, проверьте свои коммутаторы. Начните с переключателя, к которому подключен сервер dhcp. Если вы используете коммутаторы Cisco,

    show mac-address-table | inc 6c:50:4d:0e:c8:c0 

    Это отобразит порты, на которых был обнаружен MAC-адрес. Если это прямой порт коммутатора, то узнайте, что подключено к нему.

    Если это порт соединительной линии или иным образом подключен к другому коммутатору, перейдите к этому коммутатору и повторите процесс. В конце концов вы найдете устройство, выдающее запросы dhcp.

    Идея переключателя мошенничества – это возможность. Если вы используете ip helper (ретранслятор dhcp) на vlan, а коммутатор неправильно подставляет свой собственный MAC-адрес в полезной нагрузке dhcp (а не в заголовке ethernet), тогда он будет выглядеть примерно так. Однако, учитывая, что вы заблокировали mac в iptables, если это так, у вас будет целый сегмент вашей сети, который не сможет получить IP-адреса. Вероятно, вы уже знаете об этом.

    http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

    / Sbin / iptables -A INPUT -m mac -mac-source 6c: 50: 4d: 0e: c8: c0 -j DROP

     Iptables -L -n -v
     Цепочка INPUT (политика ACCEPT 1029M пакетов, 460G байт)
      Pkts bytes target prot opt ​​вне назначения источника         
    
     Цепочка FORWARD (политика ACCEPT 0 пакетов, 0 байт)
      Pkts bytes target prot opt ​​вне назначения источника         
    
     Цепочка OUTPUT (политика ACCEPT 654M пакетов, 1067G байт)
      Pkts bytes target prot opt ​​вне назначения источника 
    
     / Sbin / iptables -A INPUT -m mac -mac-source 6c: 50: 4d: 0e: c8: c0 -j DROP
    
      Iptables -L -n -v
     Цепочка INPUT (политика ACCEPT 1029M пакетов, 460G байт)
      Pkts bytes target prot opt ​​вне назначения источника         
        26 8468 DROP all - * * 0.0.0.0/0 0.0.0.0/0 MAC 6C: 50: 4D: 0E: C8: C0 
    

    Оттуда вы видите, что теперь он блокирует 26 пакетов.

    Давайте будем гением компьютера.