我有一个相当过时的 Debian 服务器,它只有一个分配的 IP 地址 - 10.1.1.2 - 此地址是在 /etc/network/interfaces 中手动分配的
但是,我刚刚发现服务器也响应IP地址10.1.1.49。
ifconfig 和 ip addr 仅显示两个接口洛和eth0。没有明显的别名。服务器只有一物理以太网端口也是如此。
对 /etc 文件夹进行递归 grep 搜索未找到任何具有 10.1.1.49 IP 地址的文件。
我可以通过这个“幽灵”IP 地址 ping、ssh、获取 apache 响应等等。
路由器没有针对此 IP 地址的转发或类似功能,该地址位于 DHCP 池之外且未被分配。
我猜想服务器可能受到了某种程度的攻击,但没有任何工具显示任何可疑之处。有什么想法吗?
编辑:该机器运行在旧主板上 - Intel D945GCLF2 - 没有 AMT 或 vPro,这导致了类似的问题(至少我能找到的)
EDIT2:更多数据
两个地址的 arp 相同
[root@bman ~]# cat /proc/net/arp | grep 00:1c:c0:ef:88:a5
10.1.1.2 0x1 0x2 00:1c:c0:ef:88:a5 * enp7s0
10.1.1.49 0x1 0x2 00:1c:c0:ef:88:a5 * enp7s0
ifconfig -a 输出
biric:# ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:1c:c0:ef:88:a5
inet addr:10.1.1.2 Bcast:10.1.1.255 Mask:255.255.255.0
inet6 addr: fe80::21c:c0ff:feef:88a5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3715031017 errors:0 dropped:3576479642 overruns:0 frame:0
TX packets:2284866989 errors:0 dropped:1518 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:676181967 (644.8 MiB) TX bytes:3904143166 (3.6 GiB)
Interrupt:220 Base address:0x8000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:44284259 errors:0 dropped:0 overruns:0 frame:0
TX packets:44284259 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4218796581 (3.9 GiB) TX bytes:4218796581 (3.9 GiB)
ip addr 显示输出
biric:# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1c:c0:ef:88:a5 brd ff:ff:ff:ff:ff:ff
inet 10.1.1.2/24 brd 10.1.1.255 scope global eth0
inet6 fe80::21c:c0ff:feef:88a5/64 scope link
valid_lft forever preferred_lft forever