@Tracerov
Разносторонний человек.

В доменной сети «плавает» IP (без доступа в интернет). Как его поймать и убрать?

Доброго времени суток.
есть WinServ2012 AD DC. Поднято DHCP. Установлен касперский. В сетке есть IP на котором нет доступа в интернет, но есть доступ к сети(он такой один).назначается сам автоматически как угодно кому угодно и ему плевать статика прописана хоть на сетевой карте, хоть в резервировании, хоть в пуле, хоть все сразу. Он назначается на любую машину. помогает перезагрузка компа или телефона. Помогите советом где изловить эту гадость. Пытался его на микротике в фаервол засунуть, а смысл? Была попытка назначить его через резервирование на левый МАС адрес, не спасло. и резервирование всех тачек тоже не помогло. Я думаю что это какое то оборудование "гадит" вопрос еще почем именно этот один IP? В общем вот такая проблема что делать уже не знаю. HELP!!!
  • Вопрос задан
  • 327 просмотров
Пригласить эксперта
Ответы на вопрос 4
hempy80
@hempy80
Внесистемный администратор
На коммутаторе(ах) необходимо настроить DHCP snooping. Если есть такая возможность. Если такой возможности нет, найти виновника и прилюдно выпороть.
Ответ написан
Keffer
@Keffer
Delenn Test Group
В сетке завелся еще один левый dhcp скорее всего.
Ответ написан
edinorog
@edinorog
Троллей не кормить!
Микротик не умеет отлавливать и банить левые дхцп сервера. Пробиваешь мак левого сервака. Смотришь что за производитель железки и находишь ее визуально
Ответ написан
@Tracerov Автор вопроса
Разносторонний человек.
ожидаю появление горе IP адреса) и буду смотреть как предложил Сергей @edinorog

не дождался я свой горе IP.
зашел на м-тике в DHCP Server задал Alert он сразу отсек несколько МАС адресов заблочил их на 31 день. зашел в лог м-тика увидел что первый мак давал DHCP на подсеть 1.1 второй в моей подсети.вот оно чудо с великим адресом. зашел в wireshark(еще мало шарю в нем но стараюсь все выучить) просканировал/отфильтровал/прочитал/нашел

Dynamic Host Configuration Protocol (Offer)
...
Your (client) IP address: 192.168.(горе IP адрес)
...
закрыл его в фаерволе от всех подальше. не хочу бегать искать по всему заводу. сам объявится)

13,03,19 утро.
сегодня мне на номп назначался этот горе IP. в общем шарк не видит этот ДХЦП сервер и вообще этот IP.
гугл говорит что это китайский IP вообще. пинга на него нет.ну не удивительно.но сеть робит скорей всего из за днс. САМАЯ БОЛЬШАЯ СТРАННОСТЬ мой комп не выключался ночью! и стоит резервация. как он пробивается я не знаю.

5c88805125b04323648298.jpeg

14.03.19
все так же мучаюсь с проблемой.
даже не знаю с чего начать.пришел утром комп на ночь не выключал. назначился снова тот самый IP.
не помню на чем вчера остановился)
сегодня и вчера точно помню 113.0.168.1 не пинговался ни в какую.
че то долго все колупал в итоге перезапустил сетевую назначился мой IP по резервированию.
113.0.168.1 не пингуется но трасерт выдает обрывается на 12-14 шаге по моему так.
и тут мне фартануло как то появился пинг на этом IP я сразу чекнул arp таблицу там его еще не было по этому полез в шарк и давай его пинговать. в пакете заметил что мак этого IP такой же как и на моем микротике. не знаю может у меня уже кукушка поехала но как я понял на них одинаковые мак адреса.а через какое то время и в ARP таблице появилась та же аномалия. как они соприкасаются понятия не имею.знаю что этот IP заменяет мой бродкаст. постараюсь все показать щас.

5c8a24bae3e01850421554.jpeg5c8a254224678275221497.jpeg
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
28 нояб. 2020, в 21:48
55000 руб./за проект
28 нояб. 2020, в 20:58
2000 руб./за проект
28 нояб. 2020, в 20:48
1200 руб./в час