Come rintracciare uno spoofer IP?

1

Abbiamo appena installato un SonicWALL NSA 3500 e ho notato alcune volte al giorno che ci sarà una voce di avviso come questa:

Ora: 01/02/2013 9: 00: 41.000

Priorità: avviso

Categoria: Prevenzione delle intrusioni

Messaggio: spoofing IP abbandonato

Fonte: 173.115.237.234, 123, X0 (La mia nota: nslookup mi dice che appartiene a una rete Sprint / PCS, ma l'interfaccia X0 è la nostra interfaccia LAN-facing. vedi anche 10.0.0.4 qui a volte con lo stesso indirizzo MAC, e non abbiamo una rete 10.0.0.0. È sempre lo stesso indirizzo MAC!)

Destinazione: 192.168.x.x, 123, X0 (La mia nota: questo ha mostrato come alcuni degli IP dei nostri server interni

Note: indirizzo MAC: 00: b0: d0: 74: 13: 74 (La mia nota: sembra essere un indirizzo MAC della Dell, ma non corrisponde a nessuno dei nostri Computer Dell su file

Quando eseguo un "arp -a | findstr 74-13-74" sul mio PC Windows, non mostro quell'indirizzo MAC nella mia tabella ARP.

C'è un modo per rintracciare cos'è? Usiamo SonicWALL SSL-VPN per tunnelare nell'interfaccia X0, forse qualcuno usa una scheda Sprint e qualcosa sta facendo casino? Forse abbiamo qualche dispositivo maligno da qualche parte? Sono molto aperto ai suggerimenti, questo mi confonde.

    
posta armani 02.01.2013 - 18:24
fonte

3 risposte

0

Ho bloccato l'indirizzo MAC incriminato e, nell'ultimo anno, non ho mai ricevuto un reclamo da un utente, quindi questa sembra essere la soluzione.

    
risposta data 06.03.2015 - 17:58
fonte
3

Se fossi in te, vorrei port mirror , tocca o hub quella rete collegata al firewall e usa un'accurata acquisizione di pacchetti, come "tcpdump -vvenXs0".

    
risposta data 02.01.2013 - 18:38
fonte
-1

Quindi la cosa qui è speleggiare intorno agli interruttori per isolare la posizione della sorgente. Potresti capire un periodo in cui questo sta accadendo e concentrare i tuoi sforzi lì. Se è in un intervallo regolare, allora è una grande cosa. Qualcos'altro, è un dolore.

    
risposta data 06.03.2015 - 20:44
fonte

Leggi altre domande sui tag