我負責宿舍的本地網絡,我們有兩個50路交換機,並使用它們連接到一些不受我管理的遠端路由器(它不在我的大樓內)。注意:這是一個遺留設置,我沒有決定如何將其組合在一起。因此,通常有人連接他的電腦並使用 DHCP 從該路由器取得 IP 位址。
然而,最近連接電腦的人們無法連接到網路並從不同的路由器取得 IP。這怎麼可能?有人剛剛將自己的路由器連接到網路並竊取 DHCP 請求?如果是這樣,我怎麼才能找到罪魁禍首?
謝謝。
答案1
如果你手邊有蘋果電腦,請執行 Tcp Dump:
tcpdump -ni en0
然後插入乙太網路連接埠:尋找 DHCP 回覆:
15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
假設錯誤的 DHCP 伺服器已回應,您現在擁有其 IP:10.0.150.150
接下來您需要 DHCP 伺服器的 MAC 位址:
arp -an | grep 10.0.150.150
將為您提供 DHCP 路由器的 MAC 位址
? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]
假設您有託管交換機,您可以登入並轉儲 mac 到連接埠的映射,只需拔掉犯罪者的電源,然後等待有人告訴您它們已關閉。
如果您的交換器沒有受到管理,則非常值得升級,但如果這不是選項,只需從前面的步驟中 ping IP:
平 10.0.150.150
拉動電線直至 ping 停止。
答案2
您可以使用其他人提到的技術來追蹤用戶,但如果您可以防止這種情況再次發生,那就更好了。
例如,在 Cisco 交換基礎架構上,您應該可以使用DHCP偵聽以防止將來發生這種情況。其他品牌的開關可能具有類似的功能。
答案3
實際連接到網路上的普通用戶可以使用(例如)Windows Server 2008 在他的筆記型電腦上的 VmWare 電腦上設定 DHCP 伺服器,並竊取其他用戶端的 DHCP 請求。
如果是這種情況,請在 ipv4 屬性中將備用 DNS IP 位址變更為真實 DNS 伺服器。
答案4
我猜測宿舍裡有人連接了 SOHO 路由器而不是他們的計算機,可能是為了可以進行無線存取。您可以採取一系列步驟來隔離問題。
一種方法是拿起你的筆記型電腦,在宿舍裡進行一些「戰爭駕駛」。換句話說,四處漫遊尋找來自惡意路由器的強力無線網路訊號。當您查看不同的優勢時,這將使您接近它。
另一種方法是:
轉到將此惡意路由器作為 DHCP 主機的計算機,並記下該路由器的 IP 和 MAC 位址。您可以透過「ipconfig /all」命令取得此資訊。
使用交換器上的管理存取權限找出 IP 或 MAC 位址正在使用哪個連接埠。換句話說,請查看交換器上的表,該表映射了哪台機器通過哪個連接埠來自。
現在,您可以將該連接埠追蹤到宿舍,或直接從交換器上刪除宿舍。希望您有哪些連接埠通往哪些宿舍房間的文檔。
如果這些都不起作用,那麼您將需要透過每次從開關上物理斷開一根電線來進行搜索,直到問題消失。
順便說一句,如果管理部門和 IT 部門做得不錯,那麼學生就會簽署某種協議,禁止他們這樣做。所以你可以引入學生主任(無論他在你的校園裡被稱為什麼)。