私は寮のローカル ネットワークを担当しています。50 ウェイ スイッチが 2 つあり、それらを使用して、私が管理していないリモート ルーター (私の建物内にはありません) に接続しています。注: これはレガシー セットアップであり、どのように構成するかは私が決めていません。そのため、通常は誰かが自分のコンピューターを接続し、DHCP を使用してそのルーターから IP アドレスを取得します。
しかし、最近、コンピュータを接続している人がネットに接続できず、別のルーターから IP を取得できないという問題が発生しています。これはなぜでしょうか? 誰かが自分のルーターをネットワークに接続して DHCP 要求を盗んでいるのでしょうか? もしそうなら、犯人を見つけるにはどうしたらよいでしょうか?
ありがとう。
答え1
Apple が手元にある場合は、TCP ダンプを実行します。
tcpdump -ni en0
次に、イーサネット ポートを接続します。DHCP 応答を探します。
15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
間違ったDHCPサーバーが応答したと仮定すると、そのIPは次のようになります: 10.0.150.150
次に、DHCP サーバーの MAC アドレスが必要です。
arp -an | grep 10.0.150.150
DHCPルーターのMACアドレスを教えてくれます
? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]
管理されたスイッチがある場合は、ログインして Mac とポートのマッピングをダンプできます。問題のあるスイッチを単に取り外し、誰かが来てスイッチがダウンしていることを知らせるまで待ちます。
スイッチが管理されていない場合はアップグレードする価値がありますが、それが選択肢にない場合は、前の手順で IP を ping するだけです。
10.0.150.150にpingする
音が止まるまでワイヤーを引っ張ります。
答え2
他の人が言及したテクニックを使用してユーザーを追跡することもできますが、これが二度と起こらないようにできればさらに良いでしょう。
たとえば、シスコのスイッチングインフラストラクチャでは、DHCPスヌーピング今後このような事態が発生しないようにするためです。他のスイッチブランドにも同様の機能がある可能性があります。
答え3
ネットワークに物理的に接続されている通常のユーザーは、自分のラップトップから VmWare マシン上の (例) Windows Server 2008 を使用して DHCP サーバーを設定し、他のクライアントの DHCP 要求を盗むことができます。
この場合は、ipv4 プロパティで代替 DNS IP アドレスを実際の DNS サーバーに変更します。
答え4
寮の部屋の誰かが、ワイヤレス アクセスを可能にするために、コンピューターの代わりに SOHO ルーターを接続したのではないかと思います。問題を切り分けるために、一連の手順を実行してください。
1 つの方法は、ノート PC を持って寮内で「ウォー ドライビング」を行うことです。言い換えると、不正なルーターから発信される強力なワイヤレス ネットワーク信号を探しながら歩き回ることです。さまざまな強度を確認しながら、不正なルーターに近づくことができます。
別の方法は次のとおりです。
この不正なルーターを DHCP ホストとして持つコンピューターに移動し、ルーターの IP アドレスと MAC アドレスを書き留めます。これは、「ipconfig /all」コマンドから取得できます。
スイッチの管理アクセスを使用して、IP アドレスまたは MAC アドレスがどのポートを使用しているかを確認します。つまり、どのマシンがどのポートからアクセスしているかをマップするスイッチ上のテーブルを確認します。
これで、そのポートを寮の部屋までたどるか、スイッチから寮の部屋を削除することができます。どのポートがどの寮の部屋に接続されているかを示すドキュメントがあることを願います。
これらのいずれも機能しない場合は、問題が解決するまで、スイッチから一度に 1 本のワイヤを物理的に取り外して検索する必要があります。
ちなみに、管理部門と IT 部門がきちんと仕事をしているのであれば、学生はこのような行為を禁止する何らかの合意に署名しているはずです。ですから、学生部長 (キャンパス内での呼び名は何でも構いません) を呼んでもいいでしょう。