Как найти мошеннический компьютер в вашей сети с неправильным IP-адресом
Я продолжаю блокировать свое сетевое оборудование, используя стандарты DISA. После реализации ACL на многоуровневом коммутаторе, который запрещает доступ к неизвестным подсетям, сервер системного журнала начал записывать два IP-адреса примерно каждые 7 минут, которые блокируются. IP-адреса находятся в сети 169.254.0.0 /16. Похоже, это указывает на то, что машины использовали локальный адрес канала связи, возможно, потому, что у них не был установлен IP-адрес (в этой изолированной сети нет DHCP). Без физического прикосновения к каждой машине, есть ли способ узнать, на какой порт (порты) приходят эти пакеты? Многоуровневый коммутатор представляет собой стек Cisco 3750G с кросс-стеком Ethernet-канала до 4 Cisco 2960G.
2 ответа
Обычно в вашем журнале обнаружения вторжений для мошеннического IP-адреса указывается MAC-адрес, но, поскольку это не так, вы можете попробовать следующее.
Войдите на свое устройство Cisco. Пинг мошенников по IP. Конечно, если ваш ACL блокирует доступ, это может быть проблематично.
ping 169.254.X.X
Надеемся, что это позволит получить MAC-адрес устройства в таблице ARP Cisco.
show arp | include 169.254.X.X
Это перечислит MAC-адрес, а также IP-адрес, с которым он связан. Это будет выглядеть примерно так:
Internet 169.254.X.X 0 2222.aaaa.bbbb ...
Где 2222.aaaa.bbbb - это MAC-адрес.
Наконец, запустите:
show mac-address-table dynamic | include 2222.aaaa.bbbb
Чтобы показать порт. Где 2222.aaaa.bbbb - это MAC-адрес.
show mac-address-table dynamic
Это покажет вам сопоставления MAC-порта.