Сегодня произошло что-то странное. В нашем офисе есть Wi-Fi роутер TP-LINK, который распределяет пул IP-адресов 192.168.80-200. Есть несколько окон и несколько боксов с Linux.
Одна из Linux-систем (CentOS) сегодня загрузилась с IP 192.168.25.X.
Я попытался продлить аренду на своем ПК (Ubuntu), ожидая получить 192.168.1.X, но вот что произошло:
$ sudo dhclient r
$ sudo dhclient eth0
(долгое ожидание)
$ ifconfig eth0
inet адрес: 192.168.25.251
Через несколько минут я обновил его снова, и он получил правильный 192.168.1.81 (и с этого момента он остается правильным при каждой новой версии)
Откуда взялась другая сеть?
Позже я вспомнил, что могу добавить -v
к dhclient
чтобы увидеть более подробную информацию, особенно о том, какой DHCP-сервер отвечает на мой запрос.
Может быть, это другой DHCP-сервер в нашей сети, о котором я не знаю? Я попытался поискать в / var / lib / dhcp leases, но не смог найти следов 25-й сети.
Кажется, ПК с Windows не затронуты, только ящики Linux.
Для хостов Windows вы можете попробовать Утилита DHCPloc который также доступен как часть пакета средств поддержки с установочного компакт-диска / DVD Windows:
Эта утилита также служит отличным приложением для обеспечения безопасности, поскольку она может обнаруживать присутствие неавторизованных DHCP-серверов в вашей сети. Это отличный способ устранить несанкционированные маршрутизаторы и точки доступа, которые могут получать пакеты DCHP.
Синтаксис:
dhcploc /p /a:"AlertNameList" /i:AlertInterval ComputerIPAddress [ValidDHCPServerList]
тогда ты узнаешь.
Причина, по которой ваши хосты обычно получают адреса из правильной области видимости и только изредка из ложной области, может быть в том, что ваш ротатор TP-LINK обычно отвечает быстрее, но не смог сделать это в тот или иной момент.
Чтобы найти мошеннические серверы, вы можете:
tcpdump port 67 or port 68
на стороне клиента