sepp 10 Geschrieben 28. Juni 2006 Melden Teilen Geschrieben 28. Juni 2006 Hallo, ich stehe vor folgendem Problem: Im Netzwerk treibt von Zeit zu Zeit ein Rogue-DHCP-Server sein unwesen. Mittels Ethereal bin ich auch an die IP-Adresse gekommen. Die Frage ist nur, wie kann ich den Server jetzt physikalisch finden. Wir setzen ausschließlich managebare 3com Switches ein (hauptsächlich 3300er). Es muss doch irgendwie rauszukriegen sein, an welchem Switch eine bestimmte IP-Adresse hängt? Danke! Gruß sepp Zitieren Link zu diesem Kommentar
onewayticket 10 Geschrieben 28. Juni 2006 Melden Teilen Geschrieben 28. Juni 2006 Hallo, eventuell ein Tracert auf die IP des Räubers. Die Frage ist nur, wie kann ich den Server jetzt physikalisch finden. da sagt die Boardglaskugel.....nichts, sie bleibt schwarz;) Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 28. Juni 2006 Melden Teilen Geschrieben 28. Juni 2006 Hallo Onewayticket - nen Tracert auf nen DHCP Server ... wozu soll das gut sein? Wenn der DHCP Adressen in seinem Netz vergibt, muss entweder ein Relay des Rogue DHCP in dem Netz sein, oder der Server ist im selben Netz. Da wüsste ich net, was Dir ein Tracert hilft. Andererseits kann man über ARP die MAC Adresse herausfinden und dann über die managebaren Switche den Übeltäterport identifizieren. Und dem entsprechenden USER auf die Finger haun - btw. ich tippe auf einen, von zu Hause mitgebrachten, WLAN Access Point in, sagen wir, der Vertriebsabteilung :D Zitieren Link zu diesem Kommentar
sepp 10 Geschrieben 28. Juni 2006 Autor Melden Teilen Geschrieben 28. Juni 2006 Danke für die Antworten. Nun, wir haben sehr viele Switches ... sicherlich gibts doch auch Programme die diese Aufgabe übernehmen? Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 28. Juni 2006 Melden Teilen Geschrieben 28. Juni 2006 Hi, bei vielen Switchen teilt man das Netzwerk häufig in mehrere VLAN's auf. Und meistens lässt sich doch so die Zahl der Switche stark einschränken. Auf 5 Switchen kurz die MAC-Adresse zu suchen sollte doch kein Problem darstellen. Ein Programm gibts dafür meines Wissens nach nicht. Aber Du könntest Dir natürlich eine entsprechende SNMP-basierende Anwendung schreiben... ;) Gruß Andre Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 29. Juni 2006 Melden Teilen Geschrieben 29. Juni 2006 hast du zu der ip auch schon die MAC Adresse ? Damit kannst du dir eine ACL auf dem Switch bauen, die diesen DHCP Server blockt, in dem Log der Switches kannst du dann sehen, welche Ports physikalisch benutzt worden sind. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.