Один и тот же MAC на нескольких IP. Как найти источник проблемы?

Question

[Дмитрий Трейсеров]

ссылка на начало истории В доменной сети «плавает» IP (без доступа в интернет). Как его поймать и убрать?

вторую неделю не могу понять. говорят мол дхцп левый есть.сканирую сетку не вижу.все где было дхцп отключил уже. все равно вижу левую сетку.

113.0.168.252 e4-8d-8c-82-36-e1 динамический
113.0.168.253 e4-8d-8c-82-36-e1 динамический
113.0.168.254 e4-8d-8c-82-36-e1 динамический
вверху левая сетка (включен дхцп алерт. микротик не вылавливает этот мак) DHCp snooping не включен
192.168.0.(VPN) e4-8d-8c-82-36-e1 динамический
192.168.0.(шлюз) e4-8d-8c-82-36-e1 динамический

Comments

[Сергей]

Proxy arp читаем)

[Дмитрий Трейсеров]

Сергей, на бридже где прокси арп там и написан этот мак.

[Сергей]

Tracerov, и?) идей почитать про это нету?)

[Дмитрий Трейсеров]

сегодня DHCP раздал уже не 113.0.168.1 а 116.0.168.1 на этом IP уже определяются устройства.
решил пробить сразу диапозон 115.0.168.1 доступен с огромным откликом. 117 доступен и там.... я в шоке.



на 117 есть устройства на которые я благополучно зашел но логины пасы пободрать не удалось. и это устройства вообще ни разу не из моей сети это три камеры и роутер.



как мы видим в настройках их камеры на которую я зашел обычная 1я подсеть.

[Михаил Хорев]

Прокси-арп на микротике включен?

[Дмитрий Трейсеров]

как я понимаю на бридже?

[Николай]

Мак точки доступа? Они умеют подменять маки клиентов на свой.

[zersh]

Меняй пароль на доступной камере, до тех пор пока пока кто нибудь не прибежит.
Или разрешение на ней как можно меньше. Да просто ip сменить.
А какие ещё порты доступны на тех ip?
Тотоже ssh? Nmap пом проверить что за Ос там и погуглит дефолтные пароли

Свои сервера проверяли на наличие таких маков?
Если домен виндовый, думаю не сложно с помощью групповых политик собрать сетевую информацию и сложить от каждого устройства в общую шареную папку. Ну а потом сделать поиск по файлам и выявить машину на которой этот мак есть.

Answer 1

[hint000]

Окей гугл, mac vendor.
Заходим на https://macvendors.com/ и видим, что это mac Микротика.
Вам удалось поймать самого себя за хвост :)

В поисках таинственного девайса вам бы помогло, если бы все свитчи были управляемые (по цепочке отслеживать, на каком порту тот или иной mac). Без управляемых свитчей - методом тыка, точнее методом вытыка и втыка коннекторов (и пинговать левый ip-адрес при этом).

Comments

[Дмитрий Трейсеров]

ну я предполагал что так и получится.и был готов к тому что мне придется ручками все перетряхнуть) скоро поставлю управляемые микротики. надеюсь что больше не будет такой фигни. а сейчас я удаляюсь в серверную) спасибо)

в общем я перетряхнул щас серверную пинг пропадает когда отрубаешь от интернета всю стойку вырубил почти все оборудование. каждый патчкорд отцепил от хабов коммутов и атсок.

Answer 2

[Rsa97]

Запустить wireshark, настроить прослушивание портов 67 и 68, выполнить запрос DHCP, должны ответить все серверы.

Comments

[Дмитрий Трейсеров]

как выполнить запрос дхцп?

[Rsa97]

Tracerov, ipconfig /renew *

[Дмитрий Трейсеров]

Rsa97, а оспади)хахаха спасибо