今天发生了一件奇怪的事情。我们办公室里有一个 TP-LINK wifi 路由器,分配了一个 IP 池 192.168.80-200。有一些 Windows 和一些 Linux 机器。
今天,其中一台 Linux 机(CentOS)启动时的 IP 为 192.168.25.X。
我尝试在我的 PC(Ubuntu)上续订租约,希望获得 192.168.1.X,但发生了以下情况:
$ sudo dhclient r
$ sudo dhclient eth0
(长时间等待)
$ ifconfig eth0
inet addr:192.168.25.251
几分钟后我再次更新它,它显示正确的 192.168.1.81(从那时起,现在每次更新它都保持正确)
另一个网络从哪里来的?
后来我记得我可以添加-v以dhclient查看一些更详细的信息,特别是哪个 DHCP 服务器响应了我的请求。
这可能是我们网络中另一个我不知道的 DHCP 服务器吗?我尝试查看 /var/lib/dhcp 租约,但找不到第 25 个网络的踪迹。
看来 Windows PC 并未受到影响,只有 Linux 电脑受到影响。
答案1
对于 Windows 主机,您可以尝试DHCPloc 实用程序它也可以作为 Windows 安装 CD/DVD 中的支持工具包的一部分提供:
此实用程序还可用作出色的安全应用程序,因为它可以检测网络上是否存在未经授权的 DHCP 服务器。这是消除可能提供 DCHP 数据包的恶意路由器和接入点的好方法。
句法 :
dhcploc /p /a:"AlertNameList" /i:AlertInterval ComputerIPAddress [ValidDHCPServerList]
你就会知道。
答案2
您的主机通常从正确的范围获取地址而偶尔从恶意范围获取地址的原因可能是因为您的 TP-LINK 路由器通常响应更快,但有时却无法响应。
要找到恶意服务器,您可以:
- 释放客户端租约
tcpdump port 67 or port 68在客户端运行- 再次启动 dhclient,看看是否有意外的服务器使用 DHCP OFFER 响应和来自 192.168.25.0/24 网络的地址来回答你的 DHCP DISCOVER 请求
- 记下此服务器的 MAC 地址,并使用交换机管理界面上的 FDB/MAC 地址表查找功能找到连接该服务器的交换机端口