저는 기숙사에서 로컬 네트워크를 담당하고 있습니다. 우리는 2개의 50방향 스위치를 사용하여 제가 관리하지 않는 원격 라우터에 연결합니다(내 건물에 없습니다). 참고: 이것은 레거시 설정이므로 어떻게 구성할지 결정하지 못했습니다. 따라서 일반적으로 누군가 자신의 컴퓨터를 연결하고 DHCP를 사용하여 해당 라우터에서 IP 주소를 얻습니다.
그러나 최근에는 컴퓨터를 연결하는 사람들이 네트워크에 연결하여 다른 라우터에서 IP를 얻을 수 없습니다. 이것이 어떻게 가능한지? 누군가 방금 자신의 라우터를 네트워크에 연결하고 DHCP 요청을 훔쳤습니까? 그렇다면 범인을 어떻게 찾을 수 있을까요?
감사해요.
답변1
Apple이 있으면 Tcp Dump를 수행하십시오.
tcpdump -ni en0
그런 다음 이더넷 포트를 연결합니다. DHCP 응답을 찾습니다.
15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
잘못된 DHCP 서버가 응답했다고 가정하면 이제 해당 IP는 10.0.150.150입니다.
다음으로 DHCP 서버의 mac 주소가 필요합니다.
arp -an | grep 10.0.150.150
DHCP 라우터의 MAC 주소를 알려줍니다.
? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]
관리되는 스위치가 있다고 가정하면 로그인하여 Mac의 포트 매핑을 덤프할 수 있습니다. 간단히 위반자의 플러그를 뽑고 누군가가 다운되었다고 말할 때까지 기다리십시오.
스위치가 관리되지 않는 경우 업그레이드할 가치가 있지만, 이것이 옵션이 아닌 경우 이전 단계에서 IP를 핑하면 됩니다.
핑 10.0.150.150
핑이 멈출 때까지 와이어를 당깁니다.
답변2
다른 사람들이 언급한 기술을 사용하여 사용자를 추적할 수 있지만, 이러한 일이 다시 발생하지 않도록 방지할 수 있다면 더욱 좋습니다.
예를 들어 Cisco 스위칭 인프라에서는 다음을 사용할 수 있습니다.DHCP 스누핑앞으로 이런 일이 일어나지 않도록. 다른 스위치 브랜드에도 비슷한 기능이 있을 수 있습니다.
답변3
네트워크에 물리적으로 연결된 일반 사용자는 랩톱에서 VmWare 시스템의 Windows Server 2008을 사용하여 DHCP 서버를 설정하고 다른 클라이언트의 DHCP 요청을 훔칠 수 있습니다.
이 경우 ipv4 속성에서 대체 DNS IP 주소를 실제 DNS 서버로 변경합니다.
답변4
기숙사에 있는 누군가가 무선 접속을 하기 위해 컴퓨터 대신 SOHO 라우터를 연결해 놓은 것 같습니다. 당신이 할 수 있는 일은 문제를 격리하기 위한 일련의 단계입니다.
한 가지 방법은 노트북을 가지고 기숙사에서 "전쟁 운전"을 하는 것입니다. 즉, 악성 라우터에서 나오는 강력한 무선 네트워크 신호를 찾아 돌아다니는 것입니다. 다양한 강점을 살펴보면서 이에 가까워질 것입니다.
또 다른 방법은 다음과 같습니다.
이 불량 라우터를 DHCP 호스트로 사용하는 컴퓨터로 이동하여 라우터의 IP 및 MAC 주소를 적어 둡니다. "ipconfig /all" 명령을 통해 이를 얻을 수 있습니다.
스위치에 대한 관리 액세스를 사용하여 해당 IP 또는 MAC 주소가 사용 중인 포트를 알아보세요. 즉, 스위치의 테이블을 보면 어떤 시스템이 어떤 포트를 통해 들어오는지 매핑됩니다.
이제 해당 포트를 기숙사 방으로 추적하거나 스위치에서 기숙사 방을 제거할 수 있습니다. 어느 포트가 어느 기숙사 방으로 가는지에 대한 문서가 있기를 바랍니다.
이들 방법 중 어느 것도 작동하지 않으면 문제가 사라질 때까지 스위치에서 한 번에 하나의 와이어를 물리적으로 분리하여 검색을 수행해야 합니다.
그건 그렇고, 행정부와 IT가 제대로 일을 하고 있다면 학생들은 이를 금지하는 일종의 계약에 서명한 것입니다. 따라서 학생처장(캠퍼스에서 어떤 이름으로 부르든)을 초대할 수 있습니다.