¿Bajo qué circunstancias podrían dos máquinas completamente diferentes recibir paquetes en la misma dirección IP de clase C que no se encuentra dentro de los rangos de red privada IPv4 reservada por la IANA?
¿Bajo qué circunstancias podrían dos máquinas completamente diferentes recibir paquetes en la misma dirección IP de clase C que no se encuentra dentro de los rangos de red privada IPv4 reservada por la IANA?
Le ayudaría si fuera más claro acerca de la topología de lo que está discutiendo, pero a primera vista, mi primera suposición es que su conmutador estaba enviando paquetes a varios puertos y lo resolvió poco después. / p>
1) Más información desde arriba ayuda. Los volcados de paquetes realmente ayudan.
2)?
3) Depende de 2.
Esto no es necesariamente una condición de falla que está describiendo. De hecho, dependiendo de su entorno, este puede ser un comportamiento completamente normal.
Mi primera suposición sería una transición de arrendamiento DHCP, esto es común en grupos altamente utilizados. Como tal, revisaría los registros en busca de los eventos EXPIRE / RELEASE / DISCOVER apropiados y construiría una línea de tiempo.
Otra opción podría ser la condición de recuperación de un conmutador. Cuando un conmutador no sabe en qué puerto se puede encontrar una dirección MAC, transmite el paquete a todos los conmutadores. En otras palabras, volviendo al comportamiento hub. Por supuesto, esto daría lugar a que todos los sistemas reciban paquetes para el sistema dado. Sin embargo, esto a menudo se detecta por accidente porque una persona comienza a capturar un paquete antes de que el conmutador aprenda el MAC. Esto ocurre con mayor frecuencia cuando se trata de paquetes UDP, como un receptor de syslog. Cuando el objetivo recibe paquetes consistentemente, pero rara vez transmite. Como tal, las entradas de CAM envejecen.
Si ninguna de esas opciones se desarrolla, entonces asumo una intención maliciosa. El envenenamiento por Arp sería el candidato más probable. La manera en que uno encuentra el destino depende en gran medida, exclusivamente, de su infraestructura y de las herramientas de administración / monitoreo de red que tenga instaladas.
Lea otras preguntas en las etiquetas network known-vulnerabilities