我有一个内部 IP 地址(192.168.0.57),每隔几天就会分配给一台机器,然后该机器会在一天中定期失去与网络的连接。
发生这种情况的第一台机器运行的是 OSX,其余的机器运行的是 Windows。两种操作系统均未检测到 IP 冲突。
当我 ping 已分配到的机器的主机名时,它会返回相应的 IP。当我 ping -a IP 时,它会返回一个完全不同的主机名。
我在网络上找不到任何具有第二个主机名的机器。这是 DNS 的问题吗?可能是什么原因造成的?
答案1
你很可能有一个“恶意 DHCP 服务器“在网络上。机器没有检测到 IP 冲突的观察结果并不能排除流氓。请参阅我刚刚链接的维基百科文章,了解可用于检测网络上是否有流氓的工具列表。很可能已经引入了某个接入点,并且其 DHCP 服务器已打开。
当您 ping 主机名时,执行 ping 的机器很可能使用您在网络上设置的 DNS 服务器,因此返回“官方”或“所需”地址也就不足为奇了。还有其他因素需要考虑,例如 DORA 对话的时间以及授权,但我不会在这里详细阐述。
当然,ping -a 会进行反向查找。因此,本地 PC 或交换机的 ARP 表已被“毒害”,现在会查看最后一台广播自己拥有该 IP 的 PC,然后将其与该新 PC 自己的 MAC 地址联系起来。
分析所有网络流量中的 DHCP 对话,然后使用 ARP 表和端口映射(如果有必要)追踪恶意者。以极端态度终止攻击。