Quando facevo analisi forensi, ho visto lo stesso indirizzo MAC utilizzato da due indirizzi IP diversi in un file di registro splunk:
139... 4681.791993 Apple_5a:77:9b Apple_69:38:cc ARP 64 192.168.1.64 is at 00:1f:f3:5a:77:9b
133... 4380.593992 Apple_5a:77:9b Apple_69:38:cc ARP 64 169.254.90.183 is at 00:1f:f3:5a:77:9b
Che cosa significa?
Leggevo i tuoi registri come segue:
192.168.1.64 è l'indirizzo IPv4 dell'interfaccia fisica con MAC 00: 1f: f3: 5a: 77: 9b sta usando. Tenderei ad ipotizzare che l'IP sia stato distribuito via DHCP, ma vedresti un IP simile < - > MAC map se è stata assegnata staticamente (semplicemente non sarebbe probabile vederla da un server DHCP)
169.254.90.183 è un indirizzo link-local ( link ), che in effetti significa è un indirizzo autoconfigurato che la macchina ha assegnato a se stesso quando tutti gli altri meccanismi di assegnazione IP hanno avuto esito negativo (in genere ciò si verifica quando un nodo non può ottenere un'assegnazione DHCP, potenzialmente perché il server DHCP non ha IP liberi da distribuire o perché occupato) .
Se le prime due colonne del tuo output sono un proxy ragionevole per i timestamp, prenderei tutto questo per indicare che il protocollo DHCP è stato temporaneamente interrotto, prima di lavorare di nuovo e fornire all'host un indirizzo.
Come indirizzo link-local, il traffico da 169.254 / 16 non lascerà il dominio di trasmissione, quindi in un contesto forense, a meno che qualcosa non si verifichi all'interno del dominio di broadcast, ignorerei.
Esiste un uso specifico di questo intervallo che potrebbe essere utile preoccuparsi, che è un host che si annuncia come 169.254.169.254 all'interno di un ambiente cloud (si veda link )
Leggi altre domande sui tag ip mac-address