空きIPアドレスからパケットがくる

社内LANに接続されているPCの中で、調査のために1台のPCのパケットを取りました。

解析している中で、おかしなことがあるのに気がつきました。

空きいているはずのIPアドレスからパケットが到達しているのです。

IPアドレス(仮に192.168.0.100) から、このPCに対してのパケットがいくつか
記録されているのですが、192.168.0.100はIPアドレス管理台帳上では「空き」
となっており、当然ping 192.168.0.100も応答はありません。

念のためとおもい、http、telnet、sshとかでもこのIPアドレスに接続してみましたが
応答はなく、arpで調べても(192.168.0.100にpingしてからarp -a)出てきません。

このIPアドレスは過去にはPCの1台に割り当てていたIPアドレスで、そのPCは
今は支店に移動したので、第3オクテット以降は別のものになっています。

という状況なのですが、パケット上では192.168.0.100からのパケットが定期的に
到着しているので、何らかの機器がそのIPを持って稼働しているものと思います
が、調べる方法はありませんでしょうか?

よろしくお願い致します

No.1 ベストアンサー 回答者： wellow 回答日時： 2014/11/08 10:09

何でキャプチャしているか分かりませんが、それなりのソフトでキャプチャしていれば、192.168.0.100発のイーサヘッダに発元のMACアドレスがあるはずです。

そのMACアドレスでフィルタして表示すれば、192.168.0.100以外のIPも見つかるかもしれません。また、そのセグメントにあるL2SW、L3SW、ルータのARPテーブルを見れば見つかるかもしれません。そのMACを持つ192.168.0.100以外のIPの機器が、192.168.0.100を名乗っているのではないかとは思いますけど。

No.2 回答者： naniwacchi 回答日時： 2014/11/08 20:59

こんばんわ。

#1さんが書かれているとおり、ARPテーブル(IPアドレスとMACアドレスの一覧)でもわかるかもしれませんが、MACテーブル(MACアドレスでポート番号の一覧)を追っていく方がより物理的に追えると思います。ただし、スイッチングハブでないとMACテーブルは存在しないので、これだけでは末尾まで追いきれない可能性もあります。

この回答へのお礼

ありがとうございました!

結論として、最初のこのアドレスだと言っていたサーバ屋さんの間違いで
第三オクテットが違っていました。
(仮のアドレスとして、192.168.0.100ではなく、192.168.10.100)

10.100は存在しているので、パケットがきても正解でした。

でも次回こういうことがあった場合の調査方法としては学ばせていただきました。
ありがとうございました。

お礼日時：2014/11/10 12:24