在运行网络扫描时,我发现有一台 Linux 机器报告了开放的 TCP 端口(端口 22-Openssh debian;端口 5124/5127/7582/8282 - 隧道是 OpenSSL),但我们只有一台 Linux 机器,而这台机器不是它。当我将 MAC 地址追溯到物理机器时,结果返回到 Server 2012 r2 机器。但是,这个 MAC 地址并不物理存在于此服务器上!?它有两个物理适配器,MAC 地址分别为 00.1E.67.19.B5.34 和 00.1E.67.19.B5.35,但报告为 Linux 的机器的 MAC 地址为 00.1E.67.19.B5.36,而这个地址实际上并不存在。DHCP 将地址发送给了这台神秘机器。我可以从网络上的任何地方 ping 这台机器,除了这台 2012r2 机器的控制台。所以我真的很困惑,也有点惊慌。
当我检查并扫描这台服务器时,我没有发现任何异常,但同时我找不到这台隐藏的机器。我猜想有一台虚拟机以某种方式隐藏在运行。
这是否可能是现在的一些根盒子,或者是否有人知道其他具有这种效果的软件?
关于如何找到并移除这台机器,有什么建议吗?
问候,布莱斯。
答案1
感谢“joeqwerty”在上面评论中给出的提示。
我找出了这块主板的手册,发现在其“mac 地址定义”下,它确实分配了一个额外的 mac 用于管理:
- 网卡 1 的 MAC 地址
- NIC 2 MAC 地址 - 分配了 NIC 1 MAC 地址 + 1
- 集成 BMC LAN 通道 MAC 地址 - 分配了 NIC 1 MAC 地址 + 2
我没有意识到一个物理网络端口可以支持多个 MAC 地址,而且我们从未使用过管理功能。现在我知道了,我会看看是否可以禁用此功能。
谢谢大家,布莱斯。