dhcp.lease 显示奇怪的条目

dhcp.lease 显示奇怪的条目
租赁 172.16.0.174 {
  开始 2 2011/11/22 10:23:11;
  结束 3 2011/11/23 10:23:11;
  绑定状态活跃;
  下一个绑定状态是空闲的;
  硬件以太网 6c:50:4d:0e:c8:c0;
  uid“\000cisco-6c50.4d0e.c8c0-Vl1”;
  客户端主机名“交换机”;
}
 cat /var/lib/dh​​cpd/dhcpd.leases | grep cisco -A 3 -B 6 | grep lease | wc
   1190 3570 24990

在我们的 dhcpd.leses 文件中发现了一些非常奇怪的条目。所有条目都来自同一个 mac 地址。它会查询所有可用的 ip。它会每秒获得一个新的租约。它现在已经在网络上做了 4 次同样的事情。从 cat 条目中可以看到,有 1190 个条目全部链接到同一个 mac 地址,所有这些都是从今天早上 9:30 开始的。

我预计我们的网络正在被扫描。查找可用的 IP。

  • 我该怎么做才能知道这个设备在哪里以及它在做什么。
  • 有谁知道有些古老扫描仪可以做到这一点吗?
  • 有谁知道如何追踪这个设备吗?
  • 查看往返于该设备的流量。
  • 一种在我们的网络上阻止该 MAC 地址的方法。

我清理了租约文件并重新启动了 dhcpd 服务器,20 分钟内我们又有了 120 个条目。

答案1

要找到原因,请检查您的交换机。从 dhcp 服务器所连接的交换机开始。如果您使用的是 Cisco 交换机,请执行以下操作

show mac-address-table | inc 6c:50:4d:0e:c8:c0

这将显示已看到 mac 地址的端口。如果是直通交换机端口,则找出插入其中的设备。

如果它是中继端口,或者以其他方式连接到另一台交换机,则转到该交换机并重复该过程。最终您将找到发出 dhcp 请求的设备。

流氓交换机的想法是可能的。如果您在 VLAN 上使用ip helper(DHCP 中继),并且交换机错误地在 DHCP 有效负载(而不是以太网报头)中替换其自己的 MAC 地址,那么它看起来将完全像这样。但是,考虑到您已经在 iptables 中阻止了 MAC,如果是这种情况,您的整个网络段将无法获取 IP 地址。您现在可能已经知道了。

答案2

http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

/sbin/iptables -A 输入 -m mac --mac-source 6c:50:4d:0e:c8:c0 -j DROP

iptables -L -n -v
链输入(策略接受1029M数据包,460G字节)
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链转发(策略接受 0 个数据包,0 字节)
 pkts 字节数 目标 协议 选择加入 退出 源 目标         

链输出(策略接受 654M 数据包,1067G 字节)
 pkts 字节数 目标 协议 选择加入 退出 源 目标

/sbin/iptables -A 输入 -m mac --mac-source 6c:50:4d:0e:c8:c0 -j DROP

 iptables -L -n -v
链输入(策略接受1029M数据包,460G字节)
 pkts 字节数 目标 协议 选择加入 退出 源 目标         
   26 8468 全部删除 -- * * 0.0.0.0/0 0.0.0.0/0 MAC 6C:50:4D:0E:C8:C0

从那里你可以看到它现在已经阻止了 26 个数据包。

相关内容