作者 主題: IP衝突,如何找出兇手?  (閱讀 16970 次)

0 會員 與 1 訪客 正在閱讀本文。

tutu001

  • 可愛的小學生
  • *
  • 文章數: 13
    • 檢視個人資料
IP衝突,如何找出兇手?
« 於: 2006-07-08 23:45 »
:cry:

請問各位先進,在LAN中有一同仁的IP設成與Linux Server 一樣,

導致其他同仁無法連至此 Server,請問要如何得知此電腦的主機名稱或MAC

曾在FreeBSD的Server上看過,若有一Client設成Server IP,

FreeBSD 會顯示此Client的MAC,不知Linux 是否有此功能?

genio

  • 懷疑的國中生
  • **
  • 文章數: 64
    • 檢視個人資料
IP衝突,如何找出兇手?
« 回覆 #1 於: 2006-07-09 00:32 »
您只要ping 那個人的ip

然後用 arp -a

就會有你要的答案

這個方法在linux和windows下都適用

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3673
    • 檢視個人資料
    • http://kenduest.sayya.org
Re: IP衝突,如何找出兇手?
« 回覆 #2 於: 2006-07-09 00:35 »
引述: "tutu001"
:cry:

請問各位先進,在LAN中有一同仁的IP設成與Linux Server 一樣,

導致其他同仁無法連至此 Server,請問要如何得知此電腦的主機名稱或MAC

曾在FreeBSD的Server上看過,若有一Client設成Server IP,

FreeBSD 會顯示此Client的MAC,不知Linux 是否有此功能?


arping ip

這樣就可以知道對方 ip 的卡號應對。

==
I am kenduest - 小州

my website: http://kenduest.sayya.org/

tutu001

  • 可愛的小學生
  • *
  • 文章數: 13
    • 檢視個人資料
找到方法了!
« 回覆 #3 於: 2006-07-14 00:29 »
找到方法了!用tcpdump

語法如下:

tcpdump -en -i eth1 ether src ! 00:11:22:33:44:55 and host 192.168.1.254 and arp

這樣只要有人設定與Servert 相同的IP,tcpdump便能顯示對方的MAC

jack90195

  • 可愛的小學生
  • *
  • 文章數: 29
    • 檢視個人資料
Re: IP衝突,如何找出兇手?
« 回覆 #4 於: 2006-07-14 22:49 »
引述: "kenduest"
引述: "tutu001"
:cry:

請問各位先進,在LAN中有一同仁的IP設成與Linux Server 一樣,

導致其他同仁無法連至此 Server,請問要如何得知此電腦的主機名稱或MAC

曾在FreeBSD的Server上看過,若有一Client設成Server IP,

FreeBSD 會顯示此Client的MAC,不知Linux 是否有此功能?


arping ip

這樣就可以知道對方 ip 的卡號應對。

==




這是瞎咪指令~?
我打不出來耶......Orz
新手~請多多包含@

~( ̄▽ ̄)~(_△_)~( ̄▽ ̄)~

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3673
    • 檢視個人資料
    • http://kenduest.sayya.org
Re: IP衝突,如何找出兇手?
« 回覆 #5 於: 2006-07-14 23:01 »
引用
引用
arping ip這樣就可以知道對方 ip 的卡號應對。


這是瞎咪指令~?
我打不出來耶......Orz


代碼: [選擇]

# arping 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.100 eth0
Unicast reply from 192.168.1.1 [00:02:B3:4B:36:B7]  0.982ms
Unicast reply from 192.168.1.1 [00:02:B3:4B:36:B7]  0.665ms


==
I am kenduest - 小州

my website: http://kenduest.sayya.org/

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4212
    • 檢視個人資料
    • http://blog.damon.tw/
IP衝突,如何找出兇手?
« 回覆 #6 於: 2006-07-14 23:12 »
不同的環境有不同的作法,想搞的很專業的樣子的話,抓各3com 3ns,網路架構跑完,該偵測的讓他跑完,查一下log,再用mac address search一下,馬上就找到是在哪各switch的哪各port,如果你的環境都是3com設備的話點一下就到管理介面了,直接把port block掉就收工了
當然也有很多其他方法可以預防client端自己亂設定ip

tutu001

  • 可愛的小學生
  • *
  • 文章數: 13
    • 檢視個人資料
IP衝突,如何找出兇手?
« 回覆 #7 於: 2006-07-14 23:17 »
感謝 kenduest 兄指導,kenduest 兄的方式較簡單,

現已不怕那些王八蛋了,因為平時為查出這些兇手,常搞得人抑馬翻。

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3673
    • 檢視個人資料
    • http://kenduest.sayya.org
IP衝突,如何找出兇手?
« 回覆 #8 於: 2006-07-14 23:21 »
引述: "tutu001"
感謝 kenduest 兄指導,kenduest 兄的方式較簡單,
現已不怕那些王八蛋了,因為平時為查出這些兇手,常搞得人抑馬翻。


我的作法是一般小環境作法,尤其都是使用一般的 hub 與沒網管功能的 switch 等小環境才這樣使用。

damon 兄的方式會比較完備,因為搭配有網管功能的 switch 在管理上會比較好進行控管。

==
I am kenduest - 小州

my website: http://kenduest.sayya.org/

jack90195

  • 可愛的小學生
  • *
  • 文章數: 29
    • 檢視個人資料
Re: IP衝突,如何找出兇手?
« 回覆 #9 於: 2006-07-14 23:39 »
代碼: [選擇]

# arping 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.100 eth0
Unicast reply from 192.168.1.1 [00:02:B3:4B:36:B7]  0.982ms
Unicast reply from 192.168.1.1 [00:02:B3:4B:36:B7]  0.665ms




痾~~~如果eth1的話呢?
因為我打出來它顯示 " arping: unknown iface eth0 "
我有看help
有 " -I " 參數
那我要怎麼輸入?才能正常顯示訊息? :roll:
新手~請多多包含@

~( ̄▽ ̄)~(_△_)~( ̄▽ ̄)~

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3673
    • 檢視個人資料
    • http://kenduest.sayya.org
Re: IP衝突,如何找出兇手?
« 回覆 #10 於: 2006-07-14 23:48 »
引述: "jack90195"

痾~~~如果eth1的話呢?
因為我打出來它顯示 " arping: unknown iface eth0 "
我有看help
有 " -I " 參數
那我要怎麼輸入?才能正常顯示訊息? :roll:


代碼: [選擇]
arping -I eth 192.168.1.1

==
I am kenduest - 小州

my website: http://kenduest.sayya.org/

jack90195

  • 可愛的小學生
  • *
  • 文章數: 29
    • 檢視個人資料
Re: IP衝突,如何找出兇手?
« 回覆 #11 於: 2006-07-14 23:57 »
引述: kenduest
引述: "jack90195"

痾~~~如果eth1的話呢?
因為我打出來它顯示 " arping: unknown iface eth0 "
我有看help
有 " -I " 參數
那我要怎麼輸入?才能正常顯示訊息? :roll:


代碼: [選擇]
arping -I eth 192.168.1.1


乎......3Q...^.^
新手~請多多包含@

~( ̄▽ ̄)~(_△_)~( ̄▽ ̄)~

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
回覆: IP衝突,如何找出兇手?
« 回覆 #12 於: 2010-03-15 17:18 »
如果有人只衝到一下怎麼找....
在日誌中只看到 00:00:00:00:12:21
看來不是正常的 MAC ... 太機車啦!!
--
TyroneYeh

anderson1127

  • 訪客
回覆: IP衝突,如何找出兇手?
« 回覆 #13 於: 2010-03-15 19:04 »
有一點要注意的是...

此法不一定有效,能夠順利找出誰在搞鬼!!
因為之前就曾經遇過,中毒的PC會發出假的IP & MAC address ...

也就是說,就算你知道當時誰佔用的Gateway IP & Gateway MAC address
也是沒用的,因為都是假造的!! 除非你能找出來那一台PC中毒了,那才有用!!

建議,如果你的區網很大,PC數量眾多,請務必改用網管型switch來改善此問題!!
區網很小的就沒差了,一台一台查清楚就是了!!

jonathan_lwo

  • 活潑的大學生
  • ***
  • 文章數: 319
    • 檢視個人資料
回覆: IP衝突,如何找出兇手?
« 回覆 #14 於: 2010-03-15 22:10 »
是不是考慮切VLAN
Server 一個Lan
client 一個 Lan
以後就不怕Ip有衝突的問題

dark

  • 俺是博士!
  • *****
  • 文章數: 1392
    • 檢視個人資料
回覆: IP衝突,如何找出兇手?
« 回覆 #15 於: 2010-03-15 23:29 »
使用網管型 switch , 鎖 mac 可一勞永逸
但可變性略嫌 .. 麻煩了點 ...

mac table 有時間性 ... 不知幾百秒
而一般 switch 是無法自行儲存這些 log 的
所以上面所指的 log 不知何來 ?
一般不鎖 mac 的話 , 都還會搭配網管軟體做監控 , 並儲存這些 log 資訊
才能比對時間 , ip , 卡號 , port
像 ciscoworks , mars , cacti(免費的)
要錢的超貴 , 不要錢的 cacti 卻功能越來越強 , 只差沒廠商電話支援

ezcacti 是做成 iso 系統安裝的 , 陸續都有新版的(檢體中文)
通常 vmware 就夠用了 , 因為預設 5 分鐘抓一次資訊
若 5 分鐘掃不完該網段 , 那一台當然也不夠用

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6245
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
回覆: IP衝突,如何找出兇手?
« 回覆 #16 於: 2010-03-16 10:38 »
我看到的問題是

1. USER怎麼有機會可以自己改設定

2. 就算暴力法仍然改了設定
   改完怎麼可以使用呢

這些是企業網管的基本功啊

不該發生就不要發生
不是發生後再來找MAC再想辦法對應到USER
佈線深似海!
網路高如天!