+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Сотни устройств с похожими MAC-адресами и именами хостов исчерпывают IP-адреса.

Сотни устройств с похожими MAC-адресами и именами хостов исчерпывают IP-адреса., RouterOS

popcorrin

Guest

17.09.2013 16:04:00

Я недавно настроил открытый Wi-Fi hotspot для общественной организации и сегодня заметил, что пул DHCP исчерпан. Я посмотрел на аренды и почти все они были назначены устройствам с MAC-адресами, начинающимися на 00:16:A4, и именами хостов, начинающимися на UA105. Поиск MAC-адреса показывает, что он принадлежит компании Ezurio Ltd, которая была приобретена компанией Laird http://www.lairdtech.com/NewsItem.aspx?id=1012. Кажется, что это бот с единственной целью – исчерпать пул IP. Не может быть такого количества отдельных устройств, которые появляются в IP-пуле. Похоже, что устройство меняет свой MAC-адрес и имя хоста, а затем снова подключается. Надеюсь, кто-то сможет прояснить ситуацию. Я прикрепил картинку.

akant Guest	#2 0 20.12.2013 21:26:00 Ладно, похоже, я не понял шутку. Что на самом деле здесь происходит? Все, что я нашел в Гугле, это, может быть, роутер Netgear, который вышел из строя? Какие мысли?

Ehman Guest	#3 0 21.12.2013 15:52:00 Я не понимаю шутку?

dog Guest	#4 0 22.12.2013 02:10:00 DHCP Exhaustion Attack — это довольно старая форма DoS. Как и со всеми видами DoS, некоторые люди делают это просто ради развлечения (что, как я предполагаю, подразумевается под "шуткой" здесь).

akant

Guest

22.12.2013 08:26:00

У нас это происходит на двух наших сегментах. Одни и те же названия пользователей приходят через DHCP с MAC-адресами 00:16:a4. Мне трудно смириться с тем, что недобросовестные люди атакуют меня на этом. Я уверен, что это простая атака отказа в обслуживании, но моя логика постоянно возвращается к плохому роутеру или прошивке. Каков рекомендуемый шаг по смягчению этой проблемы независимо от причины?

dog

Guest

22.12.2013 14:58:00

В ситуации с хотспотом не так много вариантов (с известными пользователями можно всегда заблокировать по MAC-адресам). Увеличьте пул DHCP → Атака займет больше времени и будет заполнять больше памяти. Уменьшите время аренды (в публичном хотспоте, думаю, можно установить на уровне 1 часа). “СерGraylisting DHCP”: используйте авторитетный режим с задержкой, чтобы замедлить атаку. Для проводных сетей используйте ограничение по MAC. В этом случае используйте фильтр моста для блокировки OUI производителя.

Asket Guest	#7 0 24.12.2013 17:08:00 Это DHCdrop или аналогичная атака. Мы используем портовую защиту DLink для максимального обучения MAC-адресов с порта.

touchmc

Guest

26.06.2014 03:27:00

Я нашел этот пост, после того как заметил, что MAC-адреса Ezurio ltd заполняют наши журналы запросов. Они отправили около 500 различных MAC-адресов за несколько часов. Не уверен, является ли это (слабой) целенаправленной атакой или просто слишком хитрым методом поставщика по обходу отслеживания MAC. MAC количество запросов Поставщик
00:16:a4:01:87:46 4 25.06.2014 ezurio ltd
00:16:a4:21:2b:48 4 25.06.2014 ezurio ltd
00:16:a4:21:34:ea 4 25.06.2014 ezurio ltd
00:16:a4:20:5e:12 3 25.06.2014 ezurio ltd
00:16:a4:fe:8d:d0 3 25.06.2014 ezurio ltd
00:16:a4:01:6e:0d 2 25.06.2014 ezurio ltd
00:16:a4:01:79:f3 2 25.06.2014 ezurio ltd
00:16:a4:01:7b:37 2 25.06.2014 ezurio ltd
00:16:a4:01:98:43 2 25.06.2014 ezurio ltd
00:16:a4:01:a5:50 2 25.06.2014 ezurio ltd
00:16:a4:20:03:f8 2 25.06.2014 ezurio ltd
00:16:a4:20:19:f4 2 25.06.2014 ezurio ltd
00:16:a4:21:05:2b 2 25.06.2014 ezurio ltd
00:16:a4:21:69:6c 2 25.06.2014 ezurio ltd
00:16:a4:21:76:fa 2 25.06.2014 ezurio ltd

JohnnyOnePost

Guest

29.06.2014 03:15:00

Эта тема — один из немногих значимых результатов, которые появляются в гугле при поиске префикса mac-адреса “00:16:a4”. Поэтому я зарегистрировался, чтобы добавить еще один факт. Я недавно включил гостевой доступ на подобие openwireless.org и начал видеть такие же подключения. На самом деле, это единственные “гостевые” пользователи, которые у меня появились за менее чем неделю предоставления открытого Wi-Fi. Географически я нахожусь в районе Шаттануга. Я в малонаселенной части пригородов, но у меня есть прямая видимость на промышленную зону (я нахожусь на вершине холма) и прямо у небольшой магистральной дороги. Мое предположение — это какого-то рода мобильный/автомобильный источник. Но это всего лишь интуиция. Если их станет больше, я, возможно, запущу анализатор пакетов, чтобы посмотреть, с кем, если вообще с кем-то, они общаются. Если я это сделаю, вернусь и сделаю еще один пост с результатами.

chmcwill Guest	#10 0 10.07.2014 04:12:00 Вопрос к вам: находится ли этот сайт где-нибудь рядом с железнодорожной линией?

JohnnyOnePost

Guest

#11

17.07.2014 21:11:00

Ну, они продолжали приходить, и я включил пакетный анализатор, чтобы увидеть одно соединение с: https://65.169.144.36/ DNS не смог сделать обратное разрешение для этого IP-адреса. Но SSL-сертификат на этом сервере идентифицирует его как Qualcomm Omnitracs для mcp200-ssl.omnitracs.com. Подключение к нему переводит меня на страницу входа в Cisco VPN. Google говорит, что Omnitracs — это компания по управлению автопарком, которую Qualcomm выделила в отдельное юрлицо. Так что, похоже, я был прав — это оборудование находится на транспортных средствах, вероятно, на грузовиках для доставки. Отвечая на вопрос chmcwill: я нахожусь примерно в миле от ближайшей железной дороги, но вижу ее.

cwf

Guest

#12

13.10.2014 17:11:00

Я увидел тот же поток клиентов с MAC-адресом 00:16:a4:..., когда убрал экран приветствия с "кликом через" у WiFi в RV-курорте для тестирования. Он находится рядом с автомагистралью, поэтому, судя по другим ответам в этой теме, клиенты — это, скорее всего, фуры с системами Omnitracs, которые настроены на подключение к любой доступной открытой WiFi. Также есть железнодорожные пути немного дальше, но по случайному времени подключения это похоже на поток с автомагистрали. Одно хорошее свойство настройки Meraki здесь — это то, что открытая SSID использует аренду DHCP, размещая их в сети 10.0.0.0/8, изолированной от локальной LAN, так что локальный пул DHCP не истощается. IP-адрес 10.0.0.0/8 генерируется Meraki.

SnotRocket Guest	#13 0 15.01.2015 16:05:00 Я сталкивался с этой проблемой несколько лет назад. Тогда я добавил правило фильтрации для моста с маской MAC-адреса, чтобы предотвратить заполнение моего DHCP пула. Сегодня я увидел свое правило фильтрации и забыл, почему я его создал. Быстрый поиск в Гугле привел меня к этой теме, и я вспомнил. Решил поделиться своим правилом фильтрации для тех, кто ищет решение на оборудовании Mikrotik. Примечание: я решил заблокировать весь трафик от этих устройств, потому что не смог найти законный случай, когда этот OUI назначался бы потребительскому оборудованию. /interface bridge filter add action=drop chain=input comment="Block Ezurio devices" in-bridge=Hotpsot src-mac-address=00:16:A4:00:00:00/FF:FF:FF:00:00:00

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры