@Tracerov
Разносторонний человек.

Почему я вижу кучу других сетей за пределами моего завода, более того моей страны?

прошлые две темы.
1) В доменной сети «плавает» IP (без доступа в интернет). Как его поймать и убрать?
2) Один и тот же MAC на нескольких IP. Как найти источник проблемы?

в общем сегодня утром левый DHCP сменился. и стал 116.0.168.1
я решил проверить весь диапазон сети. отклики были много где. но на 117 лучше всех.
при обращении в эту сеть она принимает имя компа и домен человека который к ней обращается
5c9311e8a16a5418784346.jpeg5c9311ef2eef0552743987.jpeg

В 117 ПОДСЕТКЕ Я ВИЖУ УСТРОЙСТВА НА КОТОРЫЕ МОГУ ПОДКЛЮЧАТЬСЯ
5c93155256686508238272.jpeg

далее я дал трасировку на 117 IP

C:\Users\sysadmin>tracert 117.0.168.1

Трассировка маршрута к sysadmin.***.ru [117.0.168.1]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.0.1**
2 5 ms 4 ms 4 ms net238-252.perm.ertelecom.ru [46.146.238.252]
3 5 ms 4 ms 4 ms ae0-435.bbr01.perm.ertelecom.ru [212.33.233.105]

4 33 ms 47 ms 33 ms ertelekom-ic-317530-sap-b3.c.telia.net [62.115.1
48.175]
5 33 ms 33 ms 33 ms sap-b3-link.telia.net [62.115.148.174]
6 41 ms 41 ms 41 ms s-bb4-link.telia.net [80.91.250.99]
7 62 ms 62 ms 62 ms ffm-bb4-link.telia.net [62.115.138.105]
8 81 ms 81 ms 81 ms mei-b1-link.telia.net [62.115.112.231]
9 214 ms 214 ms 214 ms snge-b1-link.telia.net [62.115.141.147]
10 229 ms 237 ms 243 ms viettel-ic-314019-snge-b1.c.telia.net [62.115.60
.18]
11 279 ms 266 ms 275 ms sysadmin.***.ru [27.68.248.29]
12 260 ms 262 ms 271 ms sysadmin.***.ru [27.68.232.9]
13 274 ms 263 ms 271 ms sysadmin.***.ru [27.68.255.33]
14 279 ms 275 ms 256 ms sysadmin.***.ru [27.68.229.50]
15 271 ms 281 ms 295 ms sysadmin.***.ru [117.0.168.1]


Трассировка завершена.

далее мы просканировали диапазон сети 27.68.*.*
около 20000 узлов видим в онлайне 8 из них известны и активны (мы к ним можем обращаться, заходить)
запросили arp таблицу там все левые сети с МАС нашего bridge ну я не удивлен)

ЧЕ ДЕЛААААТЬ?)
  • Вопрос задан
  • 2840 просмотров
Решения вопроса 1
@Tracerov Автор вопроса
Разносторонний человек.
hint000, Анатолий , BasiC2k, Талян, CityCat4,
те кто новенький читайте комментарии.
ребята, в общем ответ был такой!
В субботу я поднимал вланы на микротиках. господи какой же геморрой) и пока отрубал оборудование снова поймал этот неуловимый IP жестко загнал его в угол путем отключения портов) и тадам победа! по сути как вы все и говорили. в общем червь-пи....р оказалась бегущая строка. я до этого уже знал что они дико спамят DHCP в сеть и как бэ я больше чем уверен был в том что это они. теперь это доказал сам себе. в общем для тех кто столкнется с такой траблой. в моем случае помогла установка wifi роутера у которого по умолчанию стоит ....0.50 IP а так же DHCP Alerts и самый лучший способ отключение патчкордов и выявление где находится "злоумышленник". всем спасибо за помощь! всем спасибо за терпение.очень интересная история получилась у нас)
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
@nApoBo3
Посмотрел предыдущие темы. Вы смешиваете трасерт, пинг, dhcp, сканирование сети все в одну кучу.

Судя по первой теме, в вашей сети есть альтернативный dhcp. Следует понимать, это не обязательно сам сервер, это может быть realy. При этом это может быть как ваш relay в следствии ошибок в настройке, так и "левый".
Но следует понимать, что если адрес dhcp находится не в вашей подсети, это может быть два разных узла. Т.е. узел в ваше подсети или relay получил широковещательный запрос dhcp от вас, ответил вам и представился определенным ip. Но поскольку этот ip не в вашей подстеи, то трафик на него пойдет через шлюз, таким образом о можете перейти на совсем другой узел.
Пример:
Я поднимаю в вашей сети dhcp и руками прописываю ему ip yandex. Вы получили адрес и пытаете мой ip пинговать, но трафик пойдет на шлюз и шлюз его отправит на yandex и узел yandex'а вам ответит.

Вам нужно найти dhcp в сети который вам "делает пакости". Для начала посмотрите wireshark mak адрес который вам отвечает. Попробуйте его найти на коммутаторах. В худущем случае сужайте домен, можно даже физически отключая свичи или вставляя в разрез грамотно настроенный микротик.
Ответ написан
BasiC2k
@BasiC2k
Возможно в вашей сети есть элементы видеонаблюдения из китайского набора. Некоторые сетевые камеры и регистраторы могут поднимать DHCP. Настройки такого девайса могут сброситься на "по-умолчанию" из-за сбоя по питанию.
Ответ написан
Diman89
@Diman89
С самого начала не следил, как вариант: на роутере сделай правило чтобы дропались dhcp-пакеты, приходящие не из локалки
Ответ написан
Удивлен, что никто не ответил так ранее, но... это может быть вирус.
Ответ написан
У провайдера нет локалки, типа билайна?
Возможно кто-то подключил второй интернет канал, причем перепутал WAN с LAN.
Что мешает найти сторонний DHCP? "arp -a" никто не отменял ))
...
сменить админа
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы