traffico APIPA nei registri router / netflow

1

Durante l'ispezione di alcuni registri di flusso, ho notato un traffico sulla porta 22 destinato a pochi server locali (a 10.x.x.x). Ciò che sorprende è che il traffico provenisse da un indirizzo IP 169.254.x.x. È normale?

Gli indirizzi IP possono essere risolti in un nome host, ma come identificare i dispositivi APIPA che tentano di connettersi a determinati servizi in una rete?

    
posta appleCIDR 10.04.2018 - 00:58
fonte

1 risposta

1

Non è molto comune, ma l'ho già visto prima.

Da un punto di vista teorico di rete, puoi pensare a questi indirizzi come qualsiasi altro intervallo di indirizzi IP. Quindi, se tentassi di rintracciare la fonte di questo traffico, inizierei chiedendo "come è arrivato questo traffico al mio router?".

Un suggerimento: cercare una tabella ARP all'interno del router. Ad esempio, in JunOS dovresti usare:

show arp no-resolve

Questo potrebbe fornire l'indirizzo MAC per il dispositivo. Dall'indirizzo MAC, è possibile cercare il produttore del dispositivo, che può fornire maggiori informazioni su quale dispositivo ha l'indirizzo IP. Ad ogni modo, prendi nota dell'indirizzo MAC.

Alcune domande chiave:

  1. Esiste un altro router collegato all'interfaccia fisica del router?
  2. Se sì, quel router ha degli indirizzi di interfaccia nella sottorete 169.254.0.0/16 (improbabile, e sarebbe strano)? In tal caso, ripetere il passaggio precedente per questo router.
  3. Se no, allora è una questione di cacciare il dispositivo da quella interfaccia fisica.

Alcuni suggerimenti per cercare il dispositivo connesso all'interfaccia fisica:

  • Se si tratta di una connessione fisica diretta a quel router, la caccia è finita!
  • Ci sono degli switch collegati a quell'interfaccia fisica? In tal caso, cerca la tabella degli indirizzi MAC nello switch e prova a trovare l'interfaccia corrispondente che corrisponde al MAC che hai trovato nel passaggio precedente.

Non esiste una pallottola d'argento per rintracciare il dispositivo, ma ripetere i passaggi precedenti dovrebbe aiutare. Scommetto che è un dispositivo Windows casuale collegato a un interruttore da qualche parte.

    
risposta data 10.04.2018 - 02:10
fonte

Leggi altre domande sui tag