Наш DC - это коробка Win2k3, которая также выполняет DHCP для домена. На днях у меня были проблемы с сетью, которые оказались связаны с DNS, и я решил их. В любом случае, когда я запускал диагностику, я заметил, что в списке было несколько шлюзов по умолчанию, которые, как я знал, не были такими, как у меня была настроена область DHCP на сервере. Дополнительный шлюз представлял собой нечетный IPv6-адрес, который разрешается на один из ноутбуков наших пользователей. Адрес IPv6 портативного компьютера был указан как имеющий более высокий приоритет над правильным адресом маршрутизатора для загрузки.
Каким образом наш DC (или, может быть, отдельные машины, сканирующие сеть?) Видит ноутбук как шлюз и затем сообщает об этом любому компьютеру в домене? Есть ли что-то, что может делать это на ноутбуке, или мне нужно что-то искать на сервере DC / DHCP? Я запустил ipconfig / flushdns & / release & / refresh, чтобы проверить, не было ли это артефактом, но, похоже, ничто не избавляет от этого шлюза IPv6.
Вот результат ipconfig:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82577LM Gigabit Network Connection
Physical Address. . . . . . . . . : 00-26-2D-FE-08-7D
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::bc59:7a8d:411b:c7db%11(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.10.174(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Tuesday, January 25, 2011 11:48:21 AM
Lease Expires . . . . . . . . . . : Wednesday, January 26, 2011 11:48:21 AM
Default Gateway . . . . . . . . . : fe80::94ab:7bda:554a:6598%11
192.168.10.1
DHCP Server . . . . . . . . . . . : 192.168.10.200
DHCPv6 IAID . . . . . . . . . . . : 234890797
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-14-2D-C5-DB-00-26-2D-FE-08-7D
DNS Servers . . . . . . . . . . . : 192.168.10.100
68.105.28.16
Primary WINS Server . . . . . . . : 192.168.10.200
NetBIOS over Tcpip. . . . . . . . : Enabled
РЕДАКТИРОВАТЬ: закрытие, так как пользователь и ноутбук какое-то время не были в офисе. Проблема, скорее всего, связана с каким-то вредоносным ПО, как показано ниже.
Отключите ноутбук !!
Перезагрузите тестовую машину, а затем посмотрите, какая конфигурация задана этой машине. вы можете прослушать свой сетевой трафик, просто чтобы убедиться, что никакие другие машины не отправляют данные на их «мошеннический» шлюз.
Есть атаки типа "человек посередине", которые требуют взлома конфигурации шлюза - я бы проверил это.