IP DEL SERVIDOR DUPLICADA

Forums: 

Saludos a todos.
Una vez más busco ayuda en su experiencia y conocimiento.

Lo que pasa es que hace unos dias encontre que mi tarjeta de red no estaba activa entonces reinicie la red y me encontre con que la direccion interna de mi servidor ya estaba configurada en otro controlador de red, de principio pense que alguno de los usuarios duplico la dirección pero busque y no lo encontre. Luego use tcpdump para identificar trafico desde la ip 192.168.0.1 (ip interna de mi servidor) con otro equipo, y me encontre que existe con que existe trafico hacia una dirección

11:09:11.420382 IP 192.168.0.1.2048 > 239.255.255.250.1900: UDP, length 354

he revisado las interfaces de red, ademas ya he cambiado la dirección interna del servidor para poder seguir trabajando pero el trafico desde esa dirección continua.

Si alguien pudiera darme algún consejo de como poder resolver este problema les agradecería.

Saludos

A mano...

Imagen de Monkito

Una ves nos pasó en la universidad, nos tocó ir de switch en switch desconectando cada máquina hasta ver en qué puerto estaba la dirección duplicada, el problema fue que un técnico había dejado esa ip configurada en un windows, eso no pasaría si la infraestructura estubiera montada sobre unos buenos catalyst...

Claro que algunas veces es algo peor, un par de máquinas con nemesis enviando paquetes arp inválidos al broadcast de capa 2, eso sí es grave.

Saludos.

------------
counter.li.org

Cogito Ergo Sum

Bueno y como recomendacion o

Imagen de damage

Bueno y como recomendacion o como una buena practica a tomar en cuenta es que a futuro veas la posibilidad de que tu red sea DHCP o minimo controlar el acceso por medio de MAC address a nivel de switch si son capa 2 o 3, o controlar esto mismo desde tu Linux.

He investigado un poco y

Imagen de ramossantiago

He investigado un poco y aunque el problema persiste se que la dirección 239.255.255.250 es una direccion de broadcast para protocolo de descubrimiento de dispositivos plug and play. Conozco la direccion MAC del dispositivo pero fisicamente no logro localizarlo y un escaneo de puertos de esa direccion solo me dice que el puerto 80 esta abierto aunque no obtengo respuesta de ese puerto.

(The 1659 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
80/tcp open http
MAC Address: 00:22:B0:B5:16:BE (Unknown)

Nmap run completed -- 1 IP address (1 host up) scanned in 1.335 seconds

He notado que el unico trafico que genera este equipo es hacia la direccion 239.255.255.250 enviando 10 paquetes de datos cada 20 segundos.

Mi pregunta es si es posible obtener algun tipo de información como que tipo de dispositivo es, unicamente conociendo la dirección ip.

Con los 3 primeros segmentos

Imagen de Monkito

Con los 3 primeros segmentos de la dirección mac deberías saber la marca de la tarjeta de red, pero en este caso dice:

00:22:B0:B5:16:BE (Unknown)

Mira este link.

Parece ser una tarjeta poco común o tal vez una mac alterada.

no puedes probar desconectar una por una?, de no tener al menos switches de capa 2 no podrás saber donde está de manera mas facil...

------------
counter.li.org

Cogito Ergo Sum