Estoy a cargo de una red local en un dormitorio, tenemos dos conmutadores de 50 vías y los usamos para conectarnos a algún enrutador remoto que no es administrado por mí (no está en mi edificio). Nota: esta es una configuración heredada, no tenía ninguna decisión sobre cómo montarla. Entonces, normalmente alguien conecta su computadora y obtiene una dirección IP de ese enrutador mediante DHCP.
Sin embargo, recientemente las personas que conectan su computadora no pueden conectarse a la red y obtener su IP de un enrutador diferente. ¿Cómo es esto posible? ¿Alguien acaba de conectar su propio enrutador a la red y roba solicitudes DHCP? Si es así, ¿cómo puedo encontrar al culpable?
Gracias.
Respuesta1
Si tienes un Apple a mano, haz un volcado Tcp:
tcpdump -ni en0
Luego conecte el puerto Ethernet: busque la respuesta de DHCP:
15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
Suponiendo que el servidor DHCP incorrecto haya respondido, ahora tiene su IP: 10.0.150.150
A continuación necesita la dirección mac del servidor DHCP:
arp -an | grep 10.0.150.150
Le dará la dirección mac del enrutador DHCP
? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]
Suponiendo que haya administrado conmutadores, puede iniciar sesión y volcar la asignación de Mac a los puertos. Simplemente desconecte el infractor y espere hasta que alguien venga a decirle que no funciona.
Si sus conmutadores no están administrados, vale la pena actualizarlos, pero si esa no es una opción, simplemente haga ping a la IP del paso anterior:
hacer ping 10.0.150.150
Tire de los cables hasta que se detenga el ping.
Respuesta2
Puede localizar al usuario utilizando las técnicas que otros han mencionado, pero sería aún mejor si pudiera evitar que esto vuelva a suceder.
Por ejemplo, en una infraestructura de conmutación de Cisco debería poder utilizarespionaje DHCPpara evitar que esto suceda en el futuro. Otras marcas de interruptores pueden tener características similares.
Respuesta3
Un usuario normal conectado físicamente a la red puede configurar un servidor DHCP usando (por ejemplo) Windows Server 2008 en una máquina VmWare desde su computadora portátil y robar la solicitud DHCP de otros clientes.
Si este es el caso, en las propiedades de ipv4 cambie la dirección IP DNS alternativa al servidor DNS real.
Respuesta4
Supongo que alguien en un dormitorio ha conectado un enrutador SOHO en lugar de su computadora, probablemente para poder tener acceso inalámbrico. Lo que puedes hacer es una serie de pasos para aislar el problema.
Una forma es coger tu portátil y hacer un poco de "conducción de guerra" en los dormitorios. En otras palabras, deambule en busca de señales potentes de red inalámbrica provenientes del enrutador no autorizado. Esto lo acercará a él, mientras observa las diferentes fortalezas.
Otra forma es:
Vaya a una computadora que tenga este enrutador fraudulento como host DHCP y anote la dirección IP y MAC del enrutador. Puede obtener esto desde el comando "ipconfig /all".
Utilice el acceso administrativo en los conmutadores para averiguar qué puerto está utilizando esa dirección IP o MAC. En otras palabras, mire la tabla en el conmutador, que asigna qué máquina proviene de qué puerto.
Ahora puede rastrear ese puerto hasta el dormitorio o simplemente quitar el dormitorio del conmutador. Con suerte, tendrá documentación sobre qué puertos van a qué dormitorios.
Si nada de esto funciona, deberá realizar una búsqueda desconectando físicamente un cable a la vez de los interruptores hasta que el problema desaparezca.
Por cierto, si la administración y la informática están haciendo un trabajo decente, entonces los estudiantes han firmado algún tipo de acuerdo que les prohíbe hacerlo. Así que puedes traer al Decano de Estudiantes (como se llame en tu campus).