租赁 172.16.0.174 {
开始 2 2011/11/22 10:23:11;
结束 3 2011/11/23 10:23:11;
绑定状态活跃;
下一个绑定状态是空闲的;
硬件以太网 6c:50:4d:0e:c8:c0;
uid“\000cisco-6c50.4d0e.c8c0-Vl1”;
客户端主机名“交换机”;
}
cat /var/lib/dhcpd/dhcpd.leases | grep cisco -A 3 -B 6 | grep lease | wc
1190 3570 24990
在我们的 dhcpd.leses 文件中发现了一些非常奇怪的条目。所有条目都来自同一个 mac 地址。它会查询所有可用的 ip。它会每秒获得一个新的租约。它现在已经在网络上做了 4 次同样的事情。从 cat 条目中可以看到,有 1190 个条目全部链接到同一个 mac 地址,所有这些都是从今天早上 9:30 开始的。
我预计我们的网络正在被扫描。查找可用的 IP。
- 我该怎么做才能知道这个设备在哪里以及它在做什么。
- 有谁知道有些古老扫描仪可以做到这一点吗?
- 有谁知道如何追踪这个设备吗?
- 查看往返于该设备的流量。
- 一种在我们的网络上阻止该 MAC 地址的方法。
我清理了租约文件并重新启动了 dhcpd 服务器,20 分钟内我们又有了 120 个条目。
答案1
要找到原因,请检查您的交换机。从 dhcp 服务器所连接的交换机开始。如果您使用的是 Cisco 交换机,请执行以下操作
show mac-address-table | inc 6c:50:4d:0e:c8:c0
这将显示已看到 mac 地址的端口。如果是直通交换机端口,则找出插入其中的设备。
如果它是中继端口,或者以其他方式连接到另一台交换机,则转到该交换机并重复该过程。最终您将找到发出 dhcp 请求的设备。
流氓交换机的想法是可能的。如果您在 VLAN 上使用ip helper(DHCP 中继),并且交换机错误地在 DHCP 有效负载(而不是以太网报头)中替换其自己的 MAC 地址,那么它看起来将完全像这样。但是,考虑到您已经在 iptables 中阻止了 MAC,如果是这种情况,您的整个网络段将无法获取 IP 地址。您现在可能已经知道了。
答案2
http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
/sbin/iptables -A 输入 -m mac --mac-source 6c:50:4d:0e:c8:c0 -j DROP
iptables -L -n -v 链输入(策略接受1029M数据包,460G字节) pkts 字节数 目标 协议 选择加入 退出 源 目标 链转发(策略接受 0 个数据包,0 字节) pkts 字节数 目标 协议 选择加入 退出 源 目标 链输出(策略接受 654M 数据包,1067G 字节) pkts 字节数 目标 协议 选择加入 退出 源 目标 /sbin/iptables -A 输入 -m mac --mac-source 6c:50:4d:0e:c8:c0 -j DROP iptables -L -n -v 链输入(策略接受1029M数据包,460G字节) pkts 字节数 目标 协议 选择加入 退出 源 目标 26 8468 全部删除 -- * * 0.0.0.0/0 0.0.0.0/0 MAC 6C:50:4D:0E:C8:C0
从那里你可以看到它现在已经阻止了 26 个数据包。