Назад | Перейти на главную страницу

Проблема с DHCP в нашей сети, может ли это быть скрытым 2-м DHCP-сервером?

Сегодня произошло что-то странное. В нашем офисе есть Wi-Fi роутер TP-LINK, который распределяет пул IP-адресов 192.168.80-200. Есть несколько окон и несколько боксов с Linux.

Одна из Linux-систем (CentOS) сегодня загрузилась с IP 192.168.25.X.

Я попытался продлить аренду на своем ПК (Ubuntu), ожидая получить 192.168.1.X, но вот что произошло:

$ sudo dhclient r
$ sudo dhclient eth0
(долгое ожидание)
$ ifconfig eth0
inet адрес: 192.168.25.251

Через несколько минут я обновил его снова, и он получил правильный 192.168.1.81 (и с этого момента он остается правильным при каждой новой версии)
Откуда взялась другая сеть?
Позже я вспомнил, что могу добавить -v к dhclient чтобы увидеть более подробную информацию, особенно о том, какой DHCP-сервер отвечает на мой запрос.

Может быть, это другой DHCP-сервер в нашей сети, о котором я не знаю? Я попытался поискать в / var / lib / dhcp leases, но не смог найти следов 25-й сети.

Кажется, ПК с Windows не затронуты, только ящики Linux.

Для хостов Windows вы можете попробовать Утилита DHCPloc который также доступен как часть пакета средств поддержки с установочного компакт-диска / DVD Windows:

Эта утилита также служит отличным приложением для обеспечения безопасности, поскольку она может обнаруживать присутствие неавторизованных DHCP-серверов в вашей сети. Это отличный способ устранить несанкционированные маршрутизаторы и точки доступа, которые могут получать пакеты DCHP.

Синтаксис:

dhcploc /p /a:"AlertNameList" /i:AlertInterval ComputerIPAddress [ValidDHCPServerList] 

тогда ты узнаешь.

Причина, по которой ваши хосты обычно получают адреса из правильной области видимости и только изредка из ложной области, может быть в том, что ваш ротатор TP-LINK обычно отвечает быстрее, но не смог сделать это в тот или иной момент.

Чтобы найти мошеннические серверы, вы можете:

  1. освободить клиентскую аренду
  2. запустить tcpdump port 67 or port 68 на стороне клиента
  3. снова запустите dhclient и посмотрите, не отвечает ли неожиданный сервер на ваши запросы DHCP DISCOVER ответами DHCP OFFER и адресом из сети 192.168.25.0/24
  4. запишите MAC-адрес этого сервера и найдите порт коммутатора, к которому он подключен, используя поиск в таблице FDB / MAC-адресов из интерфейса управления вашего коммутатора.