Ich bin für ein lokales Netzwerk in einem Wohnheim verantwortlich. Wir haben zwei 50-Wege-Switches und verwenden diese, um eine Verbindung zu einem Remote-Router herzustellen, der nicht von mir verwaltet wird (er befindet sich nicht in meinem Gebäude). Hinweis: Dies ist ein Legacy-Setup, ich hatte keine Entscheidung darüber, wie es zusammengesetzt wird. Normalerweise verbindet also jemand seinen Computer und erhält über DHCP eine IP-Adresse von diesem Router.
In letzter Zeit können Benutzer jedoch keine Verbindung zum Internet herstellen und ihre IP-Adresse nicht von einem anderen Router beziehen. Wie ist das möglich? Jemand hat einfach seinen eigenen Router an das Netzwerk angeschlossen und stiehlt DHCP-Anfragen? Wenn ja, wie kann ich den Schuldigen finden?
Danke.
Antwort1
Wenn Sie ein Apple zur Hand haben, führen Sie einen TCP-Dump durch:
tcpdump -ni en0
Schließen Sie dann den Ethernet-Port an: Suchen Sie nach der DHCP-Antwort:
15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
Vorausgesetzt, der falsche DHCP-Server hat geantwortet, haben Sie jetzt seine IP: 10.0.150.150
Als nächstes benötigen Sie die Mac-Adresse des DHCP-Servers:
arp -an | grep 10.0.150.150
Gibt Ihnen die Mac-Adresse des DHCP-Routers
? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]
Vorausgesetzt, Sie haben Switches verwaltet, können Sie sich anmelden und die Zuordnung der Macs zu den Ports sichern. Ziehen Sie einfach den Stecker des Übeltäters und warten Sie, bis jemand kommt und Ihnen mitteilt, dass er ausgefallen ist.
Wenn Ihre Switches nicht verwaltet werden, lohnt sich ein Upgrade. Wenn das aber keine Option ist, pingen Sie einfach die IP aus dem vorherigen Schritt an:
Ping 10.0.150.150
Ziehen Sie an den Kabeln, bis das Ping aufhört.
Antwort2
Sie können den Benutzer mithilfe der von anderen genannten Techniken aufspüren, aber noch besser wäre es, wenn Sie verhindern könnten, dass dies jemals wieder passiert.
Beispielsweise sollten Sie auf einer Cisco-Switching-Infrastruktur in der Lage sein,DHCP-Snoopingum dies in Zukunft zu verhindern. Andere Schaltermarken verfügen möglicherweise über ähnliche Funktionen.
Antwort3
Ein normaler Benutzer, der physisch mit dem Netzwerk verbunden ist, kann von seinem Laptop aus einen DHCP-Server mit (Beispiel) Windows Server 2008 auf einer VmWare-Maschine einrichten und die DHCP-Anfragen anderer Clients stehlen.
Wenn dies der Fall ist, ändern Sie in den IPv4-Eigenschaften die alternative DNS-IP-Adresse in den echten DNS-Server.
Antwort4
Ich vermute, dass jemand in einem Wohnheimzimmer anstelle seines Computers einen SOHO-Router angeschlossen hat, wahrscheinlich, um drahtlosen Zugriff zu haben. Sie können das Problem mit einer Reihe von Schritten isolieren.
Eine Möglichkeit besteht darin, Ihren Laptop zu holen und in den Wohnheimen ein bisschen „War Driving“ zu betreiben. Mit anderen Worten: Suchen Sie nach starken drahtlosen Netzwerksignalen, die vom Schurkenrouter ausgehen. So kommen Sie ihm näher und können die unterschiedlichen Stärken beobachten.
Eine andere Möglichkeit besteht darin:
Gehen Sie zu einem Computer, der diesen Rogue-Router als DHCP-Host hat, und notieren Sie sich die IP- und MAC-Adresse des Routers. Sie können diese mit dem Befehl „ipconfig /all“ abrufen.
Verwenden Sie den Administratorzugriff auf die Switches, um herauszufinden, welchen Port diese IP- oder MAC-Adresse verwendet. Mit anderen Worten: Sehen Sie sich die Tabelle auf dem Switch an, die zuordnet, von welchem Port welche Maschine kommt.
Jetzt können Sie diesen Port entweder zum Wohnheimzimmer zurückverfolgen oder das Wohnheimzimmer einfach vom Switch entfernen. Hoffentlich haben Sie eine Dokumentation darüber, welche Ports zu welchen Wohnheimzimmern führen.
Wenn nichts davon funktioniert, müssen Sie eine Suche durchführen, indem Sie jeweils ein Kabel physisch von den Schaltern trennen, bis das Problem behoben ist.
Übrigens, wenn die Verwaltung und die IT einen anständigen Job machen, dann haben die Studenten eine Art Vereinbarung unterzeichnet, die ihnen dies verbietet. Sie können also den Studiendekan (oder wie auch immer er auf Ihrem Campus genannt wird) einschalten.