Abbiamo appena installato un SonicWALL NSA 3500 e ho notato alcune volte al giorno che ci sarà una voce di avviso come questa:
Ora: 01/02/2013 9: 00: 41.000
Priorità: avviso
Categoria: Prevenzione delle intrusioni
Messaggio: spoofing IP abbandonato
Fonte: 173.115.237.234, 123, X0 (La mia nota: nslookup mi dice che appartiene a una rete Sprint / PCS, ma l'interfaccia X0 è la nostra interfaccia LAN-facing. vedi anche 10.0.0.4 qui a volte con lo stesso indirizzo MAC, e non abbiamo una rete 10.0.0.0. È sempre lo stesso indirizzo MAC!)
Destinazione: 192.168.x.x, 123, X0 (La mia nota: questo ha mostrato come alcuni degli IP dei nostri server interni
Note: indirizzo MAC: 00: b0: d0: 74: 13: 74 (La mia nota: sembra essere un indirizzo MAC della Dell, ma non corrisponde a nessuno dei nostri Computer Dell su file
Quando eseguo un "arp -a | findstr 74-13-74" sul mio PC Windows, non mostro quell'indirizzo MAC nella mia tabella ARP.
C'è un modo per rintracciare cos'è? Usiamo SonicWALL SSL-VPN per tunnelare nell'interfaccia X0, forse qualcuno usa una scheda Sprint e qualcosa sta facendo casino? Forse abbiamo qualche dispositivo maligno da qualche parte? Sono molto aperto ai suggerimenti, questo mi confonde.