sepp 10 Geschrieben 28. Juni 2006 Melden Geschrieben 28. Juni 2006 Hallo, ich stehe vor folgendem Problem: Im Netzwerk treibt von Zeit zu Zeit ein Rogue-DHCP-Server sein unwesen. Mittels Ethereal bin ich auch an die IP-Adresse gekommen. Die Frage ist nur, wie kann ich den Server jetzt physikalisch finden. Wir setzen ausschließlich managebare 3com Switches ein (hauptsächlich 3300er). Es muss doch irgendwie rauszukriegen sein, an welchem Switch eine bestimmte IP-Adresse hängt? Danke! Gruß sepp
onewayticket 10 Geschrieben 28. Juni 2006 Melden Geschrieben 28. Juni 2006 Hallo, eventuell ein Tracert auf die IP des Räubers. Die Frage ist nur, wie kann ich den Server jetzt physikalisch finden. da sagt die Boardglaskugel.....nichts, sie bleibt schwarz;)
Aktaion 10 Geschrieben 28. Juni 2006 Melden Geschrieben 28. Juni 2006 Hallo Onewayticket - nen Tracert auf nen DHCP Server ... wozu soll das gut sein? Wenn der DHCP Adressen in seinem Netz vergibt, muss entweder ein Relay des Rogue DHCP in dem Netz sein, oder der Server ist im selben Netz. Da wüsste ich net, was Dir ein Tracert hilft. Andererseits kann man über ARP die MAC Adresse herausfinden und dann über die managebaren Switche den Übeltäterport identifizieren. Und dem entsprechenden USER auf die Finger haun - btw. ich tippe auf einen, von zu Hause mitgebrachten, WLAN Access Point in, sagen wir, der Vertriebsabteilung :D
sepp 10 Geschrieben 28. Juni 2006 Autor Melden Geschrieben 28. Juni 2006 Danke für die Antworten. Nun, wir haben sehr viele Switches ... sicherlich gibts doch auch Programme die diese Aufgabe übernehmen?
Operator 10 Geschrieben 28. Juni 2006 Melden Geschrieben 28. Juni 2006 Hi, bei vielen Switchen teilt man das Netzwerk häufig in mehrere VLAN's auf. Und meistens lässt sich doch so die Zahl der Switche stark einschränken. Auf 5 Switchen kurz die MAC-Adresse zu suchen sollte doch kein Problem darstellen. Ein Programm gibts dafür meines Wissens nach nicht. Aber Du könntest Dir natürlich eine entsprechende SNMP-basierende Anwendung schreiben... ;) Gruß Andre
solinske 10 Geschrieben 29. Juni 2006 Melden Geschrieben 29. Juni 2006 hast du zu der ip auch schon die MAC Adresse ? Damit kannst du dir eine ACL auf dem Switch bauen, die diesen DHCP Server blockt, in dem Log der Switches kannst du dann sehen, welche Ports physikalisch benutzt worden sind.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden