У меня есть принтер на работе, по какой-то причине маршрутизатор отказывается назначать конкретный IP-адрес для этого принтера через резервирование DHCP, и мне пришлось настроить его со статическим IP-адресом. Иногда принтер выключен. Мне было интересно, как будет вести себя сеть, когда я включаю принтер, когда его IP-адрес уже занят другим устройством по протоколу DHCP?
Это вызовет конфликт?
Разве это не будет использовано как DoS-атака?
Допустим, я ненавижу кого-то на работе, все, что мне нужно, это назначить его IP-адрес моей машине, прервать его работу и продолжать делать это неоднократно.
Само по себе «приоритезации» нет. Что произойдет, так это то, что оба они намереваются отвечать за одни и те же запросы ARP и будут вести себя непредсказуемо.
Иногда нужно какое-то время работать, а потом остановиться. Иногда другой может работать какое-то время. Или ни то, ни другое не сработает.
Может показаться, что какое-то время все работает, а затем загадочным образом прекращается.
Некоторые другие устройства в том же сегменте могут иметь доступ к одному или другому. Или не.
Как говорили другие, если DHCP-сервер достаточно сложен, он может проверить использование адреса, прежде чем передавать адрес в области. На самом деле это зависит от конкретной реализации IP-стека на каждом задействованном устройстве.
Я попробую это сделать.
Независимо от того, какое программное обеспечение вы используете, DHCP должен обеспечивать две функции:
Если вы используете Windows Server, эта ссылка поможет в создании области:
http://technet.microsoft.com/en-gb/library/dd759218.aspx
Если вы используете Linux Server, вам необходимо изменить содержимое файла конфигурации DHCP для области:
Red Hat/CentOS/Fedora: */etc/dhcpd.conf*
Ubuntu/Debian: */etc/default/dhcp3-server*
Это образец файла конфигурации DHCP в Linux (оба):
http://pastebin.com/WKKjVryd
Когда вы правильно настроите свой DHCP-сервер, у вас не будет конфликтов, и в этом случае вы получите. Вы также должны установить максимальное количество клиентов, которым вы хотите рассылать адреса. В дополнение к предыдущему комментарию у вас также должна быть допустимая маска подсети. т.е. включение полного адреса хоста 254, но присвоение ему / 27 (255.255.255.224) позволит назначить только 30 хостов (исключая широковещательный и сетевой адрес).
Однако, если вы используете домашний маршрутизатор, это должно быть просто, указав диапазон IP-адресов, который вы хотите использовать, по умолчанию стандартные решения будут иметь это как стандарт:
IP Range: 192.168.x.0 (x being a number, usually 0 or 1) Subnet Mask: 255.255.255.0 (the .0 indicates it is /24 and allows for 254 hosts (excluding the broadcast and network address))
Я предлагаю вам пересмотреть область действия и список резервирования, расширить его, чтобы позволить большему количеству клиентов избежать конфликтов (мой опыт показывает, что конфликты или отказы аутентификации DHCP вызваны отсутствием доступных адресов или ошибочно вставленными MAC-адресами) и дважды проверьте назначенные MAC-адреса. Вы также можете использовать Wireshark и фильтровать с помощью «dhcp», чтобы увидеть, отправляют ли сервер и связанный с ним клиент пакеты DHCP Discover, DHCP Offer, DHCP Request, DHCP Accept (DORA). Еще одна вещь - проверить отправляемые запросы ARP, поскольку DHCP является службой уровня 3 (IP) и полагается на службы уровня 2 (ARP) для выполнения своей работы.
Если при обнаружении происходит сбой, он не видит DHCP. Если это не удается в предложении, DHCP не имеет достаточно адресов для распределения.
Также обратите внимание на ошибку помещения адреса в пул ограничений DHCP. Если он находится в пуле ограничений (или на домашних маршрутизаторах, фильтрация MAC), то DHCP-сервер автоматически отклоняет / отклоняет пакет предложения DHCP от передачи клиенту, запрашивающему ассоциацию.
Ключевые моменты: Проверьте диапазон / область действия, проверьте ограничения и добавьте элементы только в резервирование, если вы хотите, чтобы они были в сети, перезапустите сервер (или, если вы не можете, перезапустите службу (не перезагружать)), повторно подключите принтер.
Есть также несколько методов, которые вы можете изучить в Интернете, чтобы избежать атак мошеннических DHCP и MiTM с использованием DHCP-сервера.
Если ваш DHCP-сервер не назначил IP-адрес, он не знает, что IP-адрес используется. Это смягчается настройкой DHCP «Резервирования» - и это то, что вам нужно сделать.
Войдите на DHCP-сервер и назначьте резервирование для этого IP-адреса, чтобы сервер не пытался назначить этот IP-адрес другому устройству.
Вы не сообщили нам, какое программное обеспечение работает на вашем DHCP-сервере, поэтому мы не можем включить конкретные инструкции о том, как это сделать.
Если оба устройства проверяют, используется ли IP-адрес перед его назначением, то тот, кто первым его получит, сохранит его.
Если ни одно устройство не выполнит такую проверку, сетевое соединение станет нестабильным для обоих устройств, пока они оба находятся в сети. Сервер DHCP может выполнять проверку от имени клиента DHCP, но не рассчитывайте на это.
Только не назначайте статический IP-адрес, который также находится в пуле DHCP. Единственный способ сработать - это если DHCP-сервер знает, для какого MAC-адреса зарезервирован IP.
Если устройство поддерживает IPv6, вы можете его использовать. С IPv6 адреса могут быть сгенерированы на основе MAC-адреса, тогда ваша проблема просто исчезнет.
Что касается потенциальной DoS-атаки, то такую атаку можно провести. Не помещайте злоумышленника и жертву в один и тот же сегмент сети. Разделите их, поместив между ними маршрутизатор или коммутатор с возможностью фильтрации.