酷!學園

技術討論區 => Linux 討論版 => 主題作者是: tutu001 於 2006-07-08 23:45

主題: IP衝突,如何找出兇手?
作者: tutu0012006-07-08 23:45
:cry:

請問各位先進,在LAN中有一同仁的IP設成與Linux Server 一樣,

導致其他同仁無法連至此 Server,請問要如何得知此電腦的主機名稱或MAC

曾在FreeBSD的Server上看過,若有一Client設成Server IP,

FreeBSD 會顯示此Client的MAC,不知Linux 是否有此功能?
主題: IP衝突,如何找出兇手?
作者: genio2006-07-09 00:32
您只要ping 那個人的ip

然後用 arp -a

就會有你要的答案

這個方法在linux和windows下都適用
主題: Re: IP衝突,如何找出兇手?
作者: kenduest2006-07-09 00:35
引述: "tutu001"
:cry:

請問各位先進,在LAN中有一同仁的IP設成與Linux Server 一樣,

導致其他同仁無法連至此 Server,請問要如何得知此電腦的主機名稱或MAC

曾在FreeBSD的Server上看過,若有一Client設成Server IP,

FreeBSD 會顯示此Client的MAC,不知Linux 是否有此功能?


arping ip

這樣就可以知道對方 ip 的卡號應對。

==
主題: 找到方法了!
作者: tutu0012006-07-14 00:29
找到方法了!用tcpdump

語法如下:

tcpdump -en -i eth1 ether src ! 00:11:22:33:44:55 and host 192.168.1.254 and arp

這樣只要有人設定與Servert 相同的IP,tcpdump便能顯示對方的MAC
主題: Re: IP衝突,如何找出兇手?
作者: jack901952006-07-14 22:49
引述: "kenduest"
引述: "tutu001"
:cry:

請問各位先進,在LAN中有一同仁的IP設成與Linux Server 一樣,

導致其他同仁無法連至此 Server,請問要如何得知此電腦的主機名稱或MAC

曾在FreeBSD的Server上看過,若有一Client設成Server IP,

FreeBSD 會顯示此Client的MAC,不知Linux 是否有此功能?


arping ip

這樣就可以知道對方 ip 的卡號應對。

==




這是瞎咪指令~?
我打不出來耶......Orz
主題: Re: IP衝突,如何找出兇手?
作者: kenduest2006-07-14 23:01
引用
引用
arping ip這樣就可以知道對方 ip 的卡號應對。


這是瞎咪指令~?
我打不出來耶......Orz


代碼: [選擇]

# arping 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.100 eth0
Unicast reply from 192.168.1.1 [00:02:B3:4B:36:B7]  0.982ms
Unicast reply from 192.168.1.1 [00:02:B3:4B:36:B7]  0.665ms


==
主題: IP衝突,如何找出兇手?
作者: damon2006-07-14 23:12
不同的環境有不同的作法,想搞的很專業的樣子的話,抓各3com 3ns,網路架構跑完,該偵測的讓他跑完,查一下log,再用mac address search一下,馬上就找到是在哪各switch的哪各port,如果你的環境都是3com設備的話點一下就到管理介面了,直接把port block掉就收工了
當然也有很多其他方法可以預防client端自己亂設定ip
主題: IP衝突,如何找出兇手?
作者: tutu0012006-07-14 23:17
感謝 kenduest 兄指導,kenduest 兄的方式較簡單,

現已不怕那些王八蛋了,因為平時為查出這些兇手,常搞得人抑馬翻。
主題: IP衝突,如何找出兇手?
作者: kenduest2006-07-14 23:21
引述: "tutu001"
感謝 kenduest 兄指導,kenduest 兄的方式較簡單,
現已不怕那些王八蛋了,因為平時為查出這些兇手,常搞得人抑馬翻。


我的作法是一般小環境作法,尤其都是使用一般的 hub 與沒網管功能的 switch 等小環境才這樣使用。

damon 兄的方式會比較完備,因為搭配有網管功能的 switch 在管理上會比較好進行控管。

==
主題: Re: IP衝突,如何找出兇手?
作者: jack901952006-07-14 23:39
代碼: [選擇]

# arping 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.100 eth0
Unicast reply from 192.168.1.1 [00:02:B3:4B:36:B7]  0.982ms
Unicast reply from 192.168.1.1 [00:02:B3:4B:36:B7]  0.665ms




痾~~~如果eth1的話呢?
因為我打出來它顯示 " arping: unknown iface eth0 "
我有看help
有 " -I " 參數
那我要怎麼輸入?才能正常顯示訊息? :roll:
主題: Re: IP衝突,如何找出兇手?
作者: kenduest2006-07-14 23:48
引述: "jack90195"

痾~~~如果eth1的話呢?
因為我打出來它顯示 " arping: unknown iface eth0 "
我有看help
有 " -I " 參數
那我要怎麼輸入?才能正常顯示訊息? :roll:


代碼: [選擇]
arping -I eth 192.168.1.1

==
主題: Re: IP衝突,如何找出兇手?
作者: jack901952006-07-14 23:57
引述: kenduest
引述: "jack90195"

痾~~~如果eth1的話呢?
因為我打出來它顯示 " arping: unknown iface eth0 "
我有看help
有 " -I " 參數
那我要怎麼輸入?才能正常顯示訊息? :roll:


代碼: [選擇]
arping -I eth 192.168.1.1


乎......3Q...^.^
主題: 回覆: IP衝突,如何找出兇手?
作者: TyroneYeh2010-03-15 17:18
如果有人只衝到一下怎麼找....
在日誌中只看到 00:00:00:00:12:21
看來不是正常的 MAC ... 太機車啦!!
主題: 回覆: IP衝突,如何找出兇手?
作者: anderson11272010-03-15 19:04
有一點要注意的是...

此法不一定有效,能夠順利找出誰在搞鬼!!
因為之前就曾經遇過,中毒的PC會發出假的IP & MAC address ...

也就是說,就算你知道當時誰佔用的Gateway IP & Gateway MAC address
也是沒用的,因為都是假造的!! 除非你能找出來那一台PC中毒了,那才有用!!

建議,如果你的區網很大,PC數量眾多,請務必改用網管型switch來改善此問題!!
區網很小的就沒差了,一台一台查清楚就是了!!
主題: 回覆: IP衝突,如何找出兇手?
作者: jonathan_lwo2010-03-15 22:10
是不是考慮切VLAN
Server 一個Lan
client 一個 Lan
以後就不怕Ip有衝突的問題
主題: 回覆: IP衝突,如何找出兇手?
作者: dark2010-03-15 23:29
使用網管型 switch , 鎖 mac 可一勞永逸
但可變性略嫌 .. 麻煩了點 ...

mac table 有時間性 ... 不知幾百秒
而一般 switch 是無法自行儲存這些 log 的
所以上面所指的 log 不知何來 ?
一般不鎖 mac 的話 , 都還會搭配網管軟體做監控 , 並儲存這些 log 資訊
才能比對時間 , ip , 卡號 , port
像 ciscoworks , mars , cacti(免費的)
要錢的超貴 , 不要錢的 cacti 卻功能越來越強 , 只差沒廠商電話支援

ezcacti 是做成 iso 系統安裝的 , 陸續都有新版的(檢體中文)
通常 vmware 就夠用了 , 因為預設 5 分鐘抓一次資訊
若 5 分鐘掃不完該網段 , 那一台當然也不夠用
主題: 回覆: IP衝突,如何找出兇手?
作者: ZMAN2010-03-16 10:38
我看到的問題是

1. USER怎麼有機會可以自己改設定

2. 就算暴力法仍然改了設定
   改完怎麼可以使用呢

這些是企業網管的基本功啊

不該發生就不要發生
不是發生後再來找MAC再想辦法對應到USER