Sou responsável por uma rede local em um dormitório, temos dois switches de 50 vias e os utilizamos para conectar a algum roteador remoto que não é administrado por mim (não está no meu prédio). Nota: esta é uma configuração legada, não tomei nenhuma decisão sobre como ela será montada. Então, normalmente alguém conecta seu computador e obtém um endereço IP desse roteador usando DHCP.
No entanto, recentemente as pessoas que conectam seus computadores não conseguem se conectar à rede e obter seu IP de um roteador diferente. Como isso é possível? Alguém acabou de conectar seu próprio roteador à rede e roubar solicitações de DHCP? Se sim, como posso encontrar o culpado?
Obrigado.
Responder1
Se você tiver um Apple em mãos, faça um Tcp Dump:
tcpdump -ni en0
Em seguida, conecte a porta Ethernet: Procure a resposta do DHCP:
15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
Supondo que o servidor DHCP errado tenha respondido, agora você tem o IP: 10.0.150.150
Em seguida, você precisa do endereço MAC do servidor DHCP:
arp -an | grep 10.0.150.150
Fornecerá o endereço MAC do roteador DHCP
? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]
Supondo que você tenha gerenciado switches, você pode fazer login e despejar o mapeamento de macs para portas. Simplesmente desconecte o agressor e espere até que alguém venha lhe dizer que ele está inativo.
Se seus switches não forem gerenciados, vale a pena atualizar, mas se essa não for uma opção, basta executar ping no IP da etapa anterior:
ping 10.0.150.150
Puxe os fios até que o ping pare.
Responder2
Você pode rastrear o usuário usando as técnicas mencionadas por outros, mas melhor ainda seria se você pudesse evitar que isso acontecesse novamente.
Por exemplo, em uma infraestrutura de switching da Cisco, você poderá usarEspionagem de DHCPpara evitar que isso aconteça no futuro. Outras marcas de switches podem ter recursos semelhantes.
Responder3
Um usuário normal conectado fisicamente na rede pode configurar um servidor DHCP usando (exemplo) o Windows Server 2008 em uma máquina VMware de seu laptop e roubar a solicitação DHCP de outros clientes.
Se for esse o caso, nas propriedades do ipv4 altere o endereço IP DNS alternativo para o servidor DNS real.
Responder4
Suponho que alguém em um dormitório conectou um roteador SOHO em vez de seu computador, provavelmente para que possa ter acesso sem fio. O que você pode fazer é uma série de etapas para isolar o problema.
Uma maneira é pegar seu laptop e fazer uma “condução de guerra” nos dormitórios. Em outras palavras, vagueie em busca de sinais fortes de rede sem fio vindos do roteador não autorizado. Isso o deixará mais próximo disso, ao observar os diversos pontos fortes.
Outra maneira é:
vá para um computador que tenha esse roteador não autorizado como host DHCP e anote o endereço IP e MAC do roteador. Você pode obter isso no comando "ipconfig /all".
Use o acesso administrativo nos switches para descobrir qual porta o endereço IP ou MAC está usando. Em outras palavras, observe a tabela no switch, que mapeia qual máquina está vindo de qual porta.
Agora você pode rastrear essa porta até o dormitório ou simplesmente remover o dormitório do switch. Esperamos que você tenha documentação sobre quais portas vão para quais dormitórios.
Se nada disso funcionar, você precisará fazer uma pesquisa desconectando fisicamente um fio de cada vez dos interruptores até que o problema desapareça.
Aliás, se a administração e a TI estão fazendo um trabalho decente, então os alunos assinaram algum tipo de acordo que os proíbe de fazer isso. ASSIM, você pode trazer o Reitor de Estudantes (como ele é chamado em seu campus).