Al realizar un análisis forense, vi que dos direcciones IP diferentes utilizaban la misma dirección MAC en un archivo de registro de splunk:
139... 4681.791993 Apple_5a:77:9b Apple_69:38:cc ARP 64 192.168.1.64 is at 00:1f:f3:5a:77:9b
133... 4380.593992 Apple_5a:77:9b Apple_69:38:cc ARP 64 169.254.90.183 is at 00:1f:f3:5a:77:9b
¿Qué significa eso?
Leería sus registros de la siguiente manera:
192.168.1.64 es la dirección IPv4 que usa la interfaz física con MAC 00: 1f: f3: 5a: 77: 9b. Tendría que asumir que la IP se entregó a través de DHCP, pero vería una IP similar < - > Mapa MAC si se asignó de forma estática (es probable que no lo vea desde un servidor DHCP)
169.254.90.183 es una dirección local de enlace ( enlace ), que en efecto significa es una dirección autoconfigurada que la máquina se asignó a sí misma cuando todos los demás mecanismos de asignación de IP fallaron (por lo general, esto sucedería cuando un nodo no puede obtener una asignación DHCP, posiblemente porque el servidor DHCP no tiene IP libres para repartir, o porque está ocupado) .
Si las dos primeras columnas de su salida son un proxy razonable para las marcas de tiempo, consideraría que todo esto significa que el DHCP falló temporalmente, antes de volver a trabajar y proporcionarle una dirección al host.
Como una dirección de enlace local, el tráfico de 169.254 / 16 no abandonará el dominio de difusión, por lo que, en un contexto forense, a menos que ocurra algo dentro del dominio de difusión, lo ignoraría.
Hay un uso específico de este rango que posiblemente valga la pena preocuparse, que es un host que se anuncia a sí mismo como 169.254.169.254 en un entorno de nube (consulte enlace )
Lea otras preguntas en las etiquetas mac-address ip