Назад | Перейти на главную страницу

Неизвестный локальный маршрутизатор ворует запросы DHCP

Я отвечаю за локальную сеть в общежитии, у нас есть два 50-позиционных коммутатора, и я использую их для подключения к некоторому удаленному маршрутизатору, который не администрируется мной (он находится не в моем здании). Примечание: это устаревшая установка, я не знал, как ее собрать. Итак, обычно кто-то подключает свой компьютер и получает IP-адрес от этого маршрутизатора с помощью DHCP.

Однако в последнее время люди, подключающие свой компьютер, не могут подключиться к сети и получить свой IP-адрес от другого маршрутизатора. Как это возможно? Кто-то только что подключил к сети свой роутер и ворует DHCP запросы? Если да, то как мне найти виновного?

Спасибо.

Вы можете отследить пользователя, используя методы, упомянутые другими, но было бы еще лучше, если бы вы могли предотвратить повторение этого когда-либо.

Например, в инфраструктуре коммутации Cisco вы должны иметь возможность использовать Отслеживание DHCP чтобы этого не случилось в будущем. Другие бренды переключателей могут иметь аналогичные функции.

Если у вас есть Apple под рукой, сделайте дамп Tcp:

tcpdump -ni en0

Затем подключите порт Ethernet: найдите ответ DHCP:

15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300

Предполагая, что ответил неправильный DHCP-сервер, теперь у вас есть его IP-адрес: 10.0.150.150


Далее вам понадобится MAC-адрес DHCP-сервера:

arp -an | grep 10.0.150.150

Дает вам MAC-адрес DHCP-маршрутизатора

? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]

Предполагая, что у вас есть управляемые коммутаторы, вы можете войти в систему и сбросить сопоставление Mac с портами. Просто отключите нарушителя и подождите, пока кто-нибудь не скажет вам, что они не работают.


Если ваши коммутаторы не управляются, его стоит обновить, но если это не вариант, просто пропингуйте IP-адрес с предыдущего шага:

пинг 10.0.150.150

Потяните за провода, пока не прекратится пинг

Обычный пользователь, физически подключенный к сети, может настроить DHCP-сервер с помощью (например) Windows Server 2008 на машине VmWare со своего портативного компьютера и украсть DHCP-запросы других клиентов.

В этом случае в свойствах ipv4 измените альтернативный IP-адрес DNS на реальный DNS-сервер.

Скорее всего, кто-то принес свой роутер из дома и подключил к вашим коммутаторам не тот порт. Большинство домашних маршрутизаторов предоставляют DHCP и с радостью выдадут адреса в неправильном диапазоне. Судя по тому, что я видел, это довольно часто встречается в общежитиях.

Попробуйте опубликовать уведомление о том, что любой, у кого есть собственный маршрутизатор, должен подключать к вашей сети только порт WAN.

Приведенные выше процедуры помогут вам найти IP-адрес, который они используют. Светофоры на маршрутизаторах также могут помочь для визуальной индикации. Если у вас нет указателя на то, где проходят все провода, отследить их будет сложно. Если вы можете закрепить порт или порты с маршрутизаторами, рассмотрите возможность их отключения на коммутаторе.

Я предполагаю, что кто-то в комнате общежития подключил маршрутизатор SOHO вместо своего компьютера, вероятно, чтобы иметь беспроводной доступ. Что вы можете сделать, это выполнить серию шагов, чтобы изолировать проблему.

Один из способов - взять ноутбук и покататься на войне в общежитиях. Другими словами, бродите вокруг в поисках сильных сигналов беспроводной сети, исходящих от мошеннического маршрутизатора. Это приблизит вас к этому, если вы посмотрите на различные сильные стороны.

Другой способ:

  1. перейдите к компьютеру, на котором этот мошеннический маршрутизатор является DHCP-хостом, и запишите IP и MAC-адрес маршрутизатора. Вы можете получить это с помощью команды "ipconfig / all".

  2. Используйте административный доступ на коммутаторах, чтобы узнать, какой порт использует этот IP- или MAC-адрес. Другими словами, посмотрите на таблицу на коммутаторе, которая отображает, какая машина через какой порт поступает.

  3. Теперь вы можете либо отследить этот порт до комнаты общежития, либо просто удалить комнату общежития с коммутатора. Надеюсь, у вас есть документация о том, какие порты идут в какие комнаты общежития.

Если ничего из этого не сработает, вам нужно будет выполнить поиск, физически отключая один провод от переключателей, пока проблема не исчезнет.

Кстати, если администрация и айтишники делают достойную работу, то студенты подписывают какое-то соглашение, запрещающее им это делать. ТАК, вы можете пригласить декана студентов (как бы его ни называли в вашем кампусе).