Я продолжаю блокировать свое сетевое оборудование, используя стандарты DISA. После внедрения ACL на многоуровневом коммутаторе, который запрещает доступ к неизвестным подсетям, сервер системного журнала начал записывать два блокируемых IP-адреса примерно каждые 7 минут. IP-адреса находятся в сети 169.254.0.0 / 16. Похоже, это указывает на то, что машины использовали локальный адрес ссылки, вероятно, потому, что у них не был установлен IP-адрес (нет DHCP в этой изолированной сети). Есть ли способ узнать, на какой порт (а) поступают эти пакеты, не касаясь физически каждой машины? Многоуровневый коммутатор представляет собой стек Cisco 3750G с кросс-стековым эфирным каналом до 4 Cisco 2960G.
Обычно в вашем журнале обнаружения вторжений для мошеннического IP-адреса указывается MAC, но, поскольку его нет, вы можете попробовать следующее.
Войдите в свое устройство Cisco. Пингуйте мошеннический IP-адрес. Конечно, если ваш ACL блокирует доступ, это может быть проблематично.
ping 169.254.X.X
Мы надеемся, что это позволит получить MAC-адрес устройства в таблице ARP Cisco.
show arp | include 169.254.X.X
В нем будет указан MAC-адрес, а также IP-адрес, с которым он связан. Это будет выглядеть примерно так:
Internet 169.254.X.X 0 2222.aaaa.bbbb ...
Где 2222.aaaa.bbbb - MAC-адрес.
Наконец запустите:
show mac-address-table dynamic | include 2222.aaaa.bbbb
Чтобы показать порт. Где 2222.aaaa.bbbb - это MAC-адрес.
show mac-address-table dynamic
Это покажет вам сопоставление MAC-адресов и портов.