出現相同MAC Address的兩台裝置要怎麼處理

網路管理

piliclassics 2015-05-11 11:50:42 ‧ 16694 瀏覽

分享至

公司某台可上網電腦的網路流量異常，在UTM設備的記錄有Bittorrent的流量，檢查該台電腦卻一切正常，完全沒有安裝任何跟BT有關的軟體。我在那台電腦安裝GlassWire記錄本機的網路流量，都沒有BT的紀錄，UTM的紀錄卻不時出現Bittorrent，我一開始還懷疑UTM是不是壞了。

該電腦IP是192.168.1.10，後來我把他網路線拔掉後再PING他的IP竟然還PING得到，這使我確信了有另外一台裝置使用同IP同Mac Address，而且這兩個裝置不會有IP衝突，能夠同時上網。

我把10的電腦IP改成110，用Network scanner掃一遍後，10的電腦有在線上且MAC和110的電腦一樣。

我後來想用一條一條網路線拔掉去PING IP 10的方法來找出裝置，但是那台裝置已經PING不到了。
我覺得有兩種可能
1.對方斷線了(拔網路線、裝置關機、虛擬機關機…)
2.對方換另外一組區網內正在使用的MAC和IP。

想問有什麼辦法可以找出MAC重複的裝置？
以及如何避免以上狀況再發生？

看更多先前的討論...收起先前的討論...

Ken(Bigcandy) iT邦大師 1 級 ‧ 2015-05-11 12:01:54 檢舉

有什麼辦法可以找出MAC重複的裝置？

隨便一個lan工具軟體都能找ip、MAC
2.

如何避免以上狀況再發生？

讓使用者沒有最高權限，無法變更MAC

林門神JanusLin iT邦超人 1 級 ‧ 2015-05-11 12:58:07 檢舉

網管的switch一般都可以看的到ARP Cache Table
看他在那一Port
L2的 Switch可以綁 MAC address/Port

hon2006 iT邦大師 1 級 ‧ 2015-05-11 14:31:04 檢舉

piliclassics提到：
該電腦IP是192.168.1.10，後來我把他網路線拔掉後再PING他的IP竟然還PING得到，這使我確信了有另外一台裝置使用同IP同Mac Address

這應該是 ip 衝到吧!
可能是有人自訂 ip 192.168.1.10

Blue Jacky iT邦大師 1 級 ‧ 2015-05-11 15:26:28 檢舉

參考一下
http://ithelp.ithome.com.tw/question/10169605?aid=319270#319270

piliclassics iT邦新手 5 級 ‧ 2015-05-11 16:40:36 檢舉

拔線後還是看的到用192.168.1.10的電腦在線上，而且MAC ADDRESS跟原本的電腦一模一樣。因為公司有限定IP上網，我猜測是有人為了要上網又不想不發現，把自己的IP和MAC改成跟可以上網的電腦相同，這樣一來兩邊都不會顯示IP衝突，而且都可以上網，又不會留下記錄。
GOOGLE到同IP同MAC的資料
http://blog.sina.com.cn/s/blog_790428a701019vnz.html

piliclassics iT邦新手 5 級 ‧ 2015-05-11 16:48:34 檢舉

剛剛檢查過了，被同時盜用IP和MAC的電腦沒有裝快樂版的軟體，沒有看到不明的程式。

CalvinKuo iT邦大師 7 級 ‧ 2015-05-11 17:41:00 檢舉

建議弄套wireshark裝在192.168.1.10來分析封包..
http://www.netadmin.com.tw/article_content.aspx?sn=0808050013

相同MAC不同IP，有可能會掉封包但是還能連... (很不穩定)
不同MAC相同IP，Windows會跳錯錯誤訊息應該是不能連。
相同MAC相同IP，沒遇過...

hon2006 iT邦大師 1 級 ‧ 2015-05-11 18:10:55 檢舉

原來有這種方式,ip mac port
我想你心中應該有可疑名單才對,
如果都沒有設備,只能每條線去查,
那要怎麼查,
如果你手上有一台不用的電腦又剛好有兩張網卡,
可以去下載 routeros
http://www.mikrotik.com/software#
或是乾脆買一台
http://www.soliton-adtech.com.tw/mikrotik-routerboard/rb750-series/rb750
使用 bridge 就可以看到 arp cache