2007.07.03

重複したIPアドレスの追跡

(闘う管理者その2?)

このところ、仮想マシン(VirtualPC等)が流行っているおかげか、
ついさっきまで存在しなかったマシンがある時突然 IPアドレスを持って
ネットワークに割り込んでくることがあったりします。

例えば Virtualマシンを状態保存のままにしていて久しぶりに起動したりすると、
何週間も前に取得して本来はリース期限の切れた DHCPの IPアドレスを
そのまま使ったりして IPアドレスが重複するなんてことがあるわけです。

で、どこでそれが起きているのか追求するのがなかなか大変なのですが、
ひとまず自分が行う手順というのがありますのでご紹介します。


ひとまず適当なマシンからコマンドプロンプトで『arp -a』して、
IPアドレス - macアドレス(LANカード固有のHWアドレス)の一覧を確認します。
IPアドレスが重複している時点では、該当する IPアドレスに対する
macアドレスが不定期に変りますので、何度か行ってみたり、
周囲のマシンからもやってみたりします。

ここで、macアドレスが 00-03-FF- で始まっているものは
基本的にはデフォルトインストールした VirtualPC もしくは VirtualServer です。
つらつら見回って、そういう画面を立ち上げている人を疑ってみます。

(因みに macアドレスから LANカードのベンダを検索するには以下のページ)
http://standards.ieee.org/regauth/oui/index.shtml


次は弊社の場合は Winsサーバーを確認します。
最近は Active-DNS に押されて出番の少ない Winsですが、日頃置いておくと
いざ調査する時にかなり役に立ちます。
アクティブな登録⇒レコードの表示⇒検索開始ボタン で一覧を表示し、
IPアドレス順で並べて、同じ IPに関係するユーザー/コンピュータの所有者を
疑ってみます。

あとは、DHCP のログをその IPアドレスで検索してみる。
コマンドプロンプトで『find "10.1.230.30" C:\WINDOWS\system32\dhcp\*.log』
とか DNSのイベントを検索してみる。とかですか。


もっとうまい方法があれば、ぜひ教えてください。

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)

photo
ichikawa