In quali circostanze due macchine completamente diverse ricevono pacchetti con lo stesso indirizzo IP di classe C che non si trova all'interno degli intervalli di rete IPv4 privati riservati IANA?
In quali circostanze due macchine completamente diverse ricevono pacchetti con lo stesso indirizzo IP di classe C che non si trova all'interno degli intervalli di rete IPv4 privati riservati IANA?
Sarebbe di grande aiuto se tu fossi più chiaro sulla topologia di ciò che stai discutendo, ma a prima vista la mia prima ipotesi è che il tuo switch stava inoltrando i pacchetti a più porte e l'hai capito dopo un po 'di tempo.
1) Maggiori informazioni dall'alto aiutano. I dump di pacchetti sono di grande aiuto.
2)?
3) Dipende dal 2.
Questa non è necessariamente una condizione di errore che stai descrivendo. In effetti, a seconda del tuo ambiente questo può essere un comportamento completamente normale.
La mia prima ipotesi sarebbe una transizione con lease DHCP, questo è comune nei pool altamente utilizzati. Come tale vorrei passare attraverso i registri cercando gli eventi EXPIRE / RELEASE / DISCOVER appropriati e costruire una timeline.
Un'altra opzione potrebbe essere la condizione di non ritorno di uno switch. Quando uno switch non sa su quale porta è possibile trovare un indirizzo MAC, trasmette il pacchetto a tutti gli switch. In altre parole, tornare al comportamento hub. Certo, ciò comporterebbe che i sistemi tutti ricevano pacchetti per il sistema specificato. Tuttavia, questo è spesso rilevato per caso perché un individuo capita di avviare una cattura di pacchetti prima che il MAC apprenda il cambiamento. Questo si verifica più spesso quando si ha a che fare con pacchetti UDP, come un ricevitore syslog. Quando il target riceve pacchetti coerentemente, ma raramente trasmette. In quanto tale, le voci della CAM scadono.
Se nessuna di queste opzioni viene visualizzata, presumo intenzioni malevole. L'avvelenamento da Arp sarebbe il candidato più probabile. Come si fa a trovare l'obiettivo dipende strongmente, in modo esclusivo ?, sulla propria infrastruttura e su quali strumenti di gestione / monitoraggio della rete si sono installati.
Leggi altre domande sui tag network known-vulnerabilities