Hoe defect apparaat in netwerk vinden?

dinsdag 21 september 2010 15:30

Acties:

0 Henk 'm!

Aaaaaaaaahhhhhhhh

Topicstarter

Kom hier een vaag probleem tegen. Sommige machines krijgen een dubbel ip. Blijkt dat er 1 apparaat in het netwerk zit wat zijn ip niet vrij geeft sinds ruim 1 week. Hij ververst het ook niet. Via de DHCP client heb ik het ip kunnen vinden. Dan heb ik via nmap heb ik dan het Mac adres kunnen vinden (001A.646C.16D9). Een of ander IBM apparaat. Dan heb ik op elke cisco switch gericht gezocht naar het mac-adres, hij staat er wel in maar geeft Po1 als bron, dit wil zeggen dat hij niet op deze switch zit. En dat doet hij bij elke switch.

Dus ben ik weer bij 0. Hoe kan ik dat apparaat nu vinden? Ik wil niet alle kamers afgaan.

Oh ik heb ook Languard even gedraaid en die geeft aan dat het een Windows machine moet zijn terwijl nmap aangeeft geen OS te kunnen herkennen.

Alle machines in het netwerk hebben de firewall uit, dus die zou ik altijd kunnen benaderen. Ik vraag me dan af of het überhaupt een computer is maar misschien iets anders.

En NEE ze hebben hier geen lijst waar alle mac-adressen in staan.

Weet iemand nog wat tools om meer informatie er uit te kunnen halen?

Port scan met nmap levert ook niets op.

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 21 september 2010 15:41

Acties:

0 Henk 'm!

nsa1984

Wat je zou kunnen doen is contact zoeken met ibm zelf om na te gaan of ze aan de hand van het mac kunnen aanwijzen wat voor soort apparaat het moet zijn. (desktop, server, losse nic, printer, etc)

Anders word het toch een leuke stagiair klus mac adressen aflopen

Maak dan nu ook meteen lijst met welke mac bij welk systeem hoort, onder het mom van als je iets doet doe het dan meteen goed.

EDIT je kunt natuurlijk BOFH style het mac adres uit je netwerk weren, er gaat vanzelf wel ergens iemand klagen dat er iets niet bereikbaar is / niet meer op het netwerk kan.

[ Voor 18% gewijzigd door nsa1984 op 21-09-2010 15:42 ]

De waarheid is leuk, maar hoe heb je die gevonden?

dinsdag 21 september 2010 15:42

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Ik begrijp ook niet dat er geen mac-adres lijst is. Ik ga eens met IBM bellen.

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 21 september 2010 15:43

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

ook cam entries timen uit na een bepaalde tijd dus wel vreemd dat je hem nog steeds ziet. Het is ook redelijk onmogelijk dat hij wel in de cam tabellen staat maar op geen enkele switch achter een bepaald interface zit.

dinsdag 21 september 2010 15:43

Acties:

0 Henk 'm!

Verwijderd

Roman schreef op dinsdag 21 september 2010 @ 15:30:
Kom hier een vaag probleem tegen. Sommige machines krijgen een dubbel ip. Blijkt dat er 1 apparaat in het netwerk zit wat zijn ip niet vrij geeft sinds ruim 1 week. Hij ververst het ook niet.

als het niet ververst wordt, verdwijnt de lease toch gewoon en gaat de dhcp server deze opnieuw uitgeven...
of het kan zijn dat het IP adres handmatig is ingevuld, maar ik mag hopen dat je wel weet welke apparaten een vast IP hebben.

wat bedoel je met 'dubbel ip'?
een apparaat kan 1 IP adres krijgen en deze vernieuwen. Mogelijk na een herstart kan een ander IP adres toegewezen worden, maar dan vervalt de oude toch gewoon?

dinsdag 21 september 2010 15:48

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Klopt hij verdwijnt uit de dhcp lijst. Maar het apparaat staat gewoon aan met blijft met dat IP adres op het netwerk. En zodra er iemand een nieuw apparaat start krijgt hij dit ip adres en dan krijg je een conflict. In de DHCP tool zie ik dan ook staan BAD ADDRESS. already in use.

Dus die machine geeft het ip niet vrij. En aangezien ik hem wel kan pingen maar niet kan benaderen denk ik dat er iets mis is, maar denk dat er niemand op werkt.

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 21 september 2010 16:26

Acties:

0 Henk 'm!

Exorcist

Uitdrijvûrrrr!

Zo te zien is het een IBM Bladecenter...

dinsdag 21 september 2010 16:35

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

hmmmm hebben hier geen bladecenter.

Heeft zo'n bladecenter een port waarop ik kan inloggen vie het ip?

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 21 september 2010 16:40

Acties:

0 Henk 'm!

Exorcist

Uitdrijvûrrrr!

Als je een tracert doet, zie je dan wellicht nog tussenliggende hops? Dan weet je misschien iets meer.
Jullie hebben daar dus geen gescheiden netwerksegmenten waardoor je al tig machines kunt uitsluiten?

Als (tijdelijke) workaround kun je natuurlijk wel dat IP reserveren, waardoor hij niet meer zal worden uitgedeeld.

dinsdag 21 september 2010 16:42

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Tracert had ik ook al uitgevoerd (was ik vergeten te vermelden). Machine zit in het zelfde segment. Uiteraard heb ik hem even uitgesloten, maar ik wil hem wel vinden.

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 21 september 2010 16:43

Acties:

0 Henk 'm!

Pogostokje

* twiet *

Wacht tot buiten werktijd, zet een continu pingjob op naar dat IP vanaf een draagbare laptop ofzo en ruk dan systematisch je switches los. Wanneer de ping een timeout geeft, zit je goed en ga je zo verder naar de volgende switch of de poorten op een switch. Zo kun je het apparaat vinden, of in ieder geval de switchpoort waar het op zit.

Toegegeven, het is wel een beetje een amateursmethode maar als je echt wanhopig bent ...

MAC adressen zijn overigens ook softwarematig in te stellen. Misschien dat iemand met opzet de boel voor de gek loopt te houden. Afhankelijk van de data die er op het netwerk staat zou je zelfs bedacht kunnen zijn van een apparaat wat duidelijk niet door het bedrijf geplaatst is...

/disclaimer: let wel even op dat er geen belangrijke dingen gebeuren als je aan de slag gaat met lostrekken want je gaat wel het netwerk verstoren.

... ook ik heb soms per ongeluk gelijk.

dinsdag 21 september 2010 16:47

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Daar dacht ik ook al aan. Maar elke cisco gaf aan dat het niet direct op hun was aangesloten. En het is een hoop werk en weet niet wat er dan weer zou gaan gebeuren.

2 weken terug had ik een Oracle server gereboot waarna de database niet meer up kwam. Dus met alles even uitzetten ben ik voorzichtig geworden hier.

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 21 september 2010 16:49

Acties:

0 Henk 'm!

bwt

verplaatst zich op een GSX750F

Ik zou nsa1984 optie uitproberen.
Het is zeer goed mogelijk dat iemand het IP vast heeft ingesteld ipv DHCP.
BOFH style IP blocken en wachten tot de "schuldige" zich meld

My 1st proc. was a NEC V20 (4-8 Mhz) - Now I have an AMD 1300 / 2000 with Aero7+ ASRock ION 330

dinsdag 21 september 2010 16:57

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Ik denk dat het geen PC is omdat ik hem ook niet kan benaderen of overnemen. En alle PC's hebben een Mac van 0011 en niet 001A.

Denk een of andere server waar een van mijn collega's een kabel teveel heeft aangesloten. Maar Bladecentre hebben we hier niet alleen X servers en AS400. Dan zijn er nog SAN's en Storage Arrays maar dat zijn allemaal HP's

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 21 september 2010 17:00

Acties:

0 Henk 'm!

Exorcist

Uitdrijvûrrrr!

Roman schreef op dinsdag 21 september 2010 @ 16:57:
Ik denk dat het geen PC is omdat ik hem ook niet kan benaderen of overnemen. En alle PC's hebben een Mac van 0011 en niet 001A.

Denk een of andere server waar een van mijn collega's een kabel teveel heeft aangesloten. Maar Bladecentre hebben we hier niet alleen X servers en AS400. Dan zijn er nog SAN's en Storage Arrays maar dat zijn allemaal HP's

Ik heb het eerste gedeelte van je MAC adres door Google gegooid, toen zag ik genoeg over Bladecenters. Dan zal het wellicht een andere IBM server of SAN zijn.

Heb je overigens al 's een uitgebreide poortscan geprobeerd met nmap of wat dan ook? Wellicht dat er wel een GUI luistert op een andere poort ofzo?

dinsdag 21 september 2010 17:01

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Port scan levert nix op. Heb met nmap een uitgebreide gedaan, was c.a. 1 uur bezig.

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 21 september 2010 17:19

Acties:

0 Henk 'm!

Bloodshot

Ook al geeft de eerste switch aan dat het MAC-adres zich achter Po1 bevindt, dan kun je toch 1 switch verder kijken, een paar switches verder en je zou op de goede switch moeten zetten. Ik kan me nauwelijks voorstellen dat je 1 heel groot netwerk hebt waarbij switch naar switch naar switch naar switch naar switch is doorgelinkt.

Op een gegeven moment moet je toch bij een accessport uitkomen.

(Je kunt natuurlijk ook dat ene adres excluden in je DHCP-server...)

dinsdag 21 september 2010 21:31

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

Ja dat lijkt me ook; gewoon kijken welke ports er in po1 zitten en dan verder zoeken.
op een crisco : #sh mac-address-table address ?
H.H.H 48-bit hardware address

Je kan ook dat ip address excluden uit je dhcp scope...

[ Voor 23% gewijzigd door Kabouterplop01 op 21-09-2010 21:36 ]

dinsdag 21 september 2010 21:39

Acties:

0 Henk 'm!

Craven

Kun je anders niet als er niemand op het netwerk is, een keertje tijdens toch al gepland overwerk ofzo, gewoon bij de switches gaan kijken wat er precies nog bezig is op het netwerk. Desnoods doe je een ping naar dat ding om hem verplicht wat netwerkacties te gaan uitvoeren. Zal je toch moeten zien welke poorten er op de switches nog bezig zijn.

dinsdag 21 september 2010 21:42

Acties:

0 Henk 'm!

Atlas

Ik flits niet meer terug!

Kan je dat ip adres telnetten?

Join the dark side, we have cookies :)
You need only two tools. WD-40 and duct tape. If it doesn't move and it should, use WD-40. If it moves and shouldn't, use the tape.

dinsdag 21 september 2010 21:43

Acties:

0 Henk 'm!

citruspers

Zit er geen loop in je netwerk? Dat zou verklaren waarom elke switch aangeeft dat hij niet direct is aangesloten.

I'm a photographer, not a terrorist

dinsdag 21 september 2010 21:47

Acties:

0 Henk 'm!

Duinkonijn

Huh?

wat voor netwerk heb je?

als je een ster heb zou je een ping -t kunnen uitvoeren en telkens voor een paar sec een switch uplink disconnecten

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

dinsdag 21 september 2010 22:06

Acties:

0 Henk 'm!

Bloodshot

citruspers schreef op dinsdag 21 september 2010 @ 21:43:
Zit er geen loop in je netwerk? Dat zou verklaren waarom elke switch aangeeft dat hij niet direct is aangesloten.

Als dit het geval zou zijn, zou 1 onbekend IP-adresje de minste van je zorg zijn.
Dan maak je je druk over broadcast-storms....

dinsdag 21 september 2010 22:34

Acties:

0 Henk 'm!

citruspers

Dat is dan weer iets wat switches juist moeten voorkomen. Maar ik heb maar een jaartje CCNA achter de rug dus de kans is vrij groot dat ik het mis heb, ik brainstorm maar wat

Ik weet niet of de boel getrunkt is, maar wellicht loopt het verkeer over een trunk link naar een ander device?

Er moet gewoon ergens een device zijn, wat danwel niet direct/conventioneel aan een switch hangt. Wellicht heeft een medewerker een hub meegenomen en ergens ingeprikt? Of een eigen wireless routertje? Dat zou ook behoorlijk de DHCP in de war schoppen.

Of wellicht heb je een insluiper op je netwerk, het is namelijk totaal mogelijk om een MAC address te spoofen (iig voor wireless, wired weet ik niet 100% zeker).

Ik noem maar een paar dingen

[ Voor 15% gewijzigd door citruspers op 21-09-2010 22:36 ]

I'm a photographer, not a terrorist

woensdag 22 september 2010 09:24

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Een loop kan niet, deze worden voorkomen door de switches. Een hub of andere switch die een medewerker heeft meegenomen zou ook nu mogelijk zijn. Dit is als goed is geblokkeerd.

Zoals gezegd ben ik alle switches langsgegaan met sh mac-address-table address en op elke geeft die Po1 aan. Dus denk ik het is of een wireless apparaat of het hangt aan een core switch. Eventueel en management port van een of andere server.

Ben op wat servers aan het kijken geweest maar ook bij die beginnen de mac adressen altijd met 0011 en niet 001A.

Telnet moet ik nog even kijken. Ben vandaag niet op die lokatie.

NOW INTERACTIVE! Joystick controls Fry's left ear.

Onderwerpen