未知本地路由器窃取 DHCP 请求

未知本地路由器窃取 DHCP 请求

我负责宿舍里的本地网络,我们有两个 50 路交换机,使用它们连接到一些不受我管理的远程路由器(它不在我的大楼里)。注意:这是一个遗留设置,我没有决定如何组合它。所以,通常有人连接他的电脑并使用 DHCP 从该路由器获取 IP 地址。

但是最近,人们连接电脑时却无法连接到网络,也无法从其他路由器获取 IP。这怎么可能呢?有人只是将自己的路由器连接到网络并窃取了 DHCP 请求?如果是这样,我该如何找到罪魁祸首?

谢谢。

答案1

如果你手边有一台 Apple 电脑,可以进行 Tcp Dump:

tcpdump -ni en0

然后插入以太网端口:查找 DHCP 回复:

15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300

假设错误的 DHCP 服务器已经响应,您现在拥有其 IP:10.0.150.150


接下来您需要 DHCP 服务器的 MAC 地址:

arp -an | grep 10.0.150.150

将为您提供 DHCP 路由器的 MAC 地址

? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]

假设您已管理交换机,您可以登录并转储 mac 到端口的映射,只需拔下违规者的电源并等待,直到有人来告诉您他们已关闭。


如果你的交换机没有被管理,那么升级是值得的,但如果这不是一个选项,只需从前面的步骤中 ping IP 即可:

ping 10.0.150.150

拉动电线直到 ping 停止。

答案2

您可以使用其他人提到的技术来追踪用户,但如果可以防止这种情况再次发生就更好了。

例如,在 Cisco 交换基础设施上,您应该能够使用DHCP 侦听以防止将来再次发生这种情况。其他开关品牌可能有类似的功能。

答案3

网络物理连接的普通用户可以在其笔记本电脑上使用(例如) VmWare 机器上的 Windows Server 2008 设置 DHCP 服务器并窃取其他客户端的 DHCP 请求。

如果是这种情况,请在 ipv4 属性中将备用 DNS IP 地址更改为真实 DNS 服务器。

答案4

我猜宿舍里有人连接了 SOHO 路由器而不是电脑,可能是为了无线上网。您可以采取一系列步骤来隔离问题。

一种方法是带上你的笔记本电脑,在宿舍里进行“战争驾驶”。换句话说,四处游荡,寻找来自流氓路由器的强无线网络信号。当你看到不同的强度时,这将使你接近它。

另一种方法是:

  1. 转到将此恶意路由器作为其 DHCP 主机的计算机,并记下路由器的 IP 和 MAC 地址。您可以通过“ipconfig /all”命令获取这些信息。

  2. 使用交换机上的管理访问权限来找出 IP 或 MAC 地址正在使用的端口。换句话说,查看交换机上的表格,该表格映射了哪台机器通过哪个端口进入。

  3. 现在,您可以将该端口追踪到宿舍,或者直接将宿舍从交换机上移除。希望您有记录哪些端口通向哪些宿舍。

如果这些方法都不起作用,那么您将需要通过从开关上一次物理断开一根电线来进行搜索,直到问题消失。

顺便说一句,如果行政部门和 IT 部门做得不错,那么学生们已经签署了某种协议,禁止他们这样做。因此,您可以请来学生主任(无论您所在的学校如何称呼他)。

相关内容