본문 바로가기

카테고리 없음

IP 충돌일으키는 호스트 찾아내기

IP 충돌이나 넷바이오스 네임 충돌 등의 경우에 해당 ip를 사용하고 있는 컴퓨터를

찾아야 할 때가 있씁니다.

고정 ip를 사용하고 해당 ip에 대한 사용자 리스트를 가지고 잇다면 아주 간단한 문제겠지만...

문제는 DHCP를 사용하거나 아니면 신고 안하고 자기 맘대로 ip를 사용하는 경우죠..^^;

첫째, ip충돌

컴퓨터에서 다음과 같은 ip 충돌(Duplicate address) 메세지가 나옴.
*May 19 15:01:23: %IP-4-DUPADDR: Duplicate address 192.168.131.121 sourced by 00c0.ca31.3835

두번째, Netbios name 충돌
윈도에서 컴퓨터 이름이 충돌난다는 메세지가 나옴


131번 네트웍 (vlan 31번)을 사용하는 스위치에서 MAC address와 스위치 연결 포트를 확인.
(이하, 192.168.131.121를 사용하는 컴퓨터를 범인으로, 이 컴퓨터에 직접 연결된 스위치를 범인 스위치로 통칭함)

환경은 6500과 다수의 2900/3500XL을 사용하고 있음.

[1] IP에 대한 MAC address 확인

Cat-6500# ping 192.168.131.121

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.131.121, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/202/1004 ms

Cat-6500# sh arp // arp table 보기

Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.131.9 51 0003.6b04.cec0 ARPA VLAN131
Internet 192.168.131.14 - 0004.4d3e.91c0 ARPA VLAN131
Internet 192.168.131.1 101 0000.0c07.ac00 ARPA VLAN131
Internet 192.168.131.121 0 0050.da08.4b73 ARPA VLAN131
Internet 192.168.131.101 2 0001.0296.7a72 ARPA VLAN131

[2] 스위치 찾기 및 찾은 후 스위치 연결 포트 확인

131번 네트웍을 사용하는 스위치는 7개임.(예전에 131번 네떡을 VLAN131로 셋팅햇었음)
따라서 7개의 스위치중에 어떤 것이 해당 스위치 인지 찾아낼 필요가 있음
(스위치는 해당 포트별로 MAC address table을 가지고 있음)

첫째, 범인 스위치가 아닌경우

(1) MAC address로 스위치 포트 확인

Cat-3500# sh mac-address-table add 0050.DA08.4B73
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0050.da08.4b73 Dynamic 31 GigabitEthernet0/2

(2) 해당 포트(Gi0/2)에 다른 스위치가 연결되어 있는지 확인

Cat-3500# sh cdp neighbors // 시스코 장비간 이웃한 장비를 찾는 명령어
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater

Device ID Local Intrfce Holdtme Capability Platform Port ID
A1-3548 Gig 0/2 163 T S WS-C3548-XL Gig 0/2


따라서 이 스위치는 범인 스위치가 아님을 알수 있음

둘째, 범인 스위치인 경우

(1) MAC address로 스위치 포트 확인

Cat-3500# sh mac-address-table add 0050.DA08.4B73
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0050.da08.4b73 Dynamic 31 FastEthernet0/20

FastEthernet 0/20번에 연결되어 있다는 것을 알수 있음.

(2) 해당 포트(FA0/24)에 다른 스위치가 연결되어 있는지 확인

Cat-3500#show cdp neighbors // 시스코 장비간 이웃한 장비를 찾는 명령어
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater

Device ID Local Intrfce Holdtme Capability Platform Port ID
Cat2924 Gig 0/2 142 T S WS-C3548-X Gig 0/2
TBP05520055 Gig 0/1 166 T S WS-C6509 3/7


따라서 FA0/24는 스위치가 연결된 포트가 아니므로 범인으로 인정됨

[3] 결론

2번 과정으로 스위치 Cat2924의 FastEthernet 0/20번 포트에 물린 사용자라는 것을 알아 낼수 있음.
아울렛 번호 추척으로 해당 호스트 발견 후 똥침 퍼억========>>~!~! ^^;