В доменной сети «плавает» IP (без доступа в интернет). Как его поймать и убрать?
Доброго времени суток.
есть WinServ2012 AD DC. Поднято DHCP. Установлен касперский. В сетке есть IP на котором нет доступа в интернет, но есть доступ к сети(он такой один).назначается сам автоматически как угодно кому угодно и ему плевать статика прописана хоть на сетевой карте, хоть в резервировании, хоть в пуле, хоть все сразу. Он назначается на любую машину. помогает перезагрузка компа или телефона. Помогите советом где изловить эту гадость. Пытался его на микротике в фаервол засунуть, а смысл? Была попытка назначить его через резервирование на левый МАС адрес, не спасло. и резервирование всех тачек тоже не помогло. Я думаю что это какое то оборудование "гадит" вопрос еще почем именно этот один IP? В общем вот такая проблема что делать уже не знаю. HELP!!!
и ему плевать статика прописана хоть на сетевой карте
вот с этого места подробнее, пожалуйста, а то какой смысл искать левый DHCP, если даже статика не помогает - "дас ист фантастиш".
И даже на 169 не может начинаться IP (динамический! и пофиг кто его сгенерил - DHCP или хост сам себе), если прописана статика. Я бы предположил одно из двух:
1. на всех компах некая экзотическая малварь, либо
2. в офисной сети орудует шутник-анонимус-кулхацкер; с физическим доступом (т.е. сотрудник), либо с удалённым доступом
АртемЪ, нет. не 169) hint000, в этом то весь и прикол я уже все перепробовал мне кажется чтоб этот горе IP не назначался.но ему вообще плевать он встает поверх всех правил!
ожидаю появление горе IP адреса) и буду смотреть как предложил Сергей @edinorog
не дождался я свой горе IP.
зашел на м-тике в DHCP Server задал Alert он сразу отсек несколько МАС адресов заблочил их на 31 день. зашел в лог м-тика увидел что первый мак давал DHCP на подсеть 1.1 второй в моей подсети.вот оно чудо с великим адресом. зашел в wireshark(еще мало шарю в нем но стараюсь все выучить) просканировал/отфильтровал/прочитал/нашел
Dynamic Host Configuration Protocol (Offer)
...
Your (client) IP address: 192.168.(горе IP адрес)
...
закрыл его в фаерволе от всех подальше. не хочу бегать искать по всему заводу. сам объявится)
13,03,19 утро.
сегодня мне на номп назначался этот горе IP. в общем шарк не видит этот ДХЦП сервер и вообще этот IP.
гугл говорит что это китайский IP вообще. пинга на него нет.ну не удивительно.но сеть робит скорей всего из за днс. САМАЯ БОЛЬШАЯ СТРАННОСТЬ мой комп не выключался ночью! и стоит резервация. как он пробивается я не знаю.
14.03.19
все так же мучаюсь с проблемой.
даже не знаю с чего начать.пришел утром комп на ночь не выключал. назначился снова тот самый IP.
не помню на чем вчера остановился)
сегодня и вчера точно помню 113.0.168.1 не пинговался ни в какую.
че то долго все колупал в итоге перезапустил сетевую назначился мой IP по резервированию.
113.0.168.1 не пингуется но трасерт выдает обрывается на 12-14 шаге по моему так.
и тут мне фартануло как то появился пинг на этом IP я сразу чекнул arp таблицу там его еще не было по этому полез в шарк и давай его пинговать. в пакете заметил что мак этого IP такой же как и на моем микротике. не знаю может у меня уже кукушка поехала но как я понял на них одинаковые мак адреса.а через какое то время и в ARP таблице появилась та же аномалия. как они соприкасаются понятия не имею.знаю что этот IP заменяет мой бродкаст. постараюсь все показать щас.
Вы совершаете активность, сути которой не понимаете. Вот это:
Dynamic Host Configuration Protocol (Offer)
...
Your (client) IP address: 192.168.(горе IP адрес)
означает, что какой-то DHCP-сервер в сети выдал такой IP-адрес на запрос клиента. И блокировать этот адрес, во-первых, бесполезно, а во-вторых -- глупо, т. к. он является не причиной проблем, а следствием. А причиной является либо левый DHCP-сервер в сети, либо криво настроенный валидный DHCP-сервер. И нужно либо искать левый, либо проверять настройки "правого". Нужно искать не КОМУ выдан IP-адрес, а ОТ КОГО прилетел DHCP offer. Т. е. найти MAC этого DHCP-сервера и потом по ARP-таблице коммутаторов найти физическое устройство, которому принадлежит этот мак.
athacker, а как же то что DHCP Alert погасил мак этого устройства? ибо там включено DHCP.
я узнал что это за оборудование
часть с лога микротика. поднял старый лог там видно что точно такое же оборудование раньше выдавало DHCP. в общем буду закрывать на них раздачу.
dhcp,critical,error dhcp alert on bridge-local: discovered unknown dhcp server, mac 60:00:53*******,
ip 192.168.*.*
Микротик не умеет отлавливать и банить левые дхцп сервера. Пробиваешь мак левого сервака. Смотришь что за производитель железки и находишь ее визуально
Сергей, нет всеж подари книжку. XD
я не пойму. мак будет компа принявшего IP.
допустим это 192.168.1.10, DHCP выдает его на комп, я запрашиваю мак из арп таблицы, он выдаст мак устройства на которое назначался IP а не мак сервака.
Средний
