Tráfico APIPA en los registros del enrutador / netflow

1

Al inspeccionar algunos registros de flujo, noté un poco de tráfico del puerto 22 destinado a unos pocos servidores locales (en 10.x.x.x). Lo que sorprendió es que el tráfico se originó en una dirección IP 169.254.x.x. ¿Esto es normal?

Las direcciones IP se pueden resolver a un nombre de host, pero ¿cómo identificamos los dispositivos APIPA que intentan conectarse a ciertos servicios en una red?

    
pregunta appleCIDR 10.04.2018 - 00:58
fuente

1 respuesta

1

No es muy común, pero he visto que esto ocurre antes.

Desde un punto de vista teórico de redes, puede pensar en estas direcciones como en cualquier otro rango de direcciones IP. Por lo tanto, si estuviera intentando localizar el origen de este tráfico, comenzaría preguntando "¿Cómo llegó este tráfico a mi enrutador?".

Una sugerencia: busque una tabla ARP dentro del enrutador. Por ejemplo, en JunOS usarías:

show arp no-resolve

Esto podría proporcionarle la dirección MAC del dispositivo. Desde la dirección MAC, puede buscar el fabricante del dispositivo, que puede proporcionar más información sobre qué dispositivo tiene la dirección IP. De cualquier manera, tenga en cuenta la dirección MAC.

Algunas preguntas clave:

  1. ¿Hay otro enrutador conectado a la interfaz física de su enrutador?
  2. En caso afirmativo, ¿ese enrutador tiene alguna dirección de interfaz dentro de la subred 169.254.0.0/16 (poco probable, y esto sería extraño)? Si es así, repita el paso anterior para este enrutador.
  3. Si no, es cuestión de buscar el dispositivo desde esa interfaz física.

Algunos consejos para cazar el dispositivo conectado a la interfaz física:

  • Si se trata de una conexión física directa a ese enrutador, ¡la búsqueda ha terminado!
  • ¿Hay algún conmutador conectado a esa interfaz física? Si es así, busque la tabla de direcciones MAC en el conmutador e intente encontrar la interfaz correspondiente que coincida con la MAC que encontró en el paso anterior.

No hay una bala de plata para rastrear el dispositivo, pero repetir los pasos anteriores debería ayudar. Apuesto a que es un dispositivo Windows aleatorio conectado a un conmutador en algún lugar.

    
respondido por el theoneandonly2 10.04.2018 - 02:10
fuente

Lea otras preguntas en las etiquetas