今天早上,我来到我们的 SOHO 办公室(超过 5 名用户),报告说互联网无法正常工作。我尝试了所有常见的简单修复方法,例如循环开关(每个用户的办公桌上都有一个开关),然后我转向硬件防火墙和调制解调器,分别重新启动和循环。一个工作站可以访问互联网,起初我不知道为什么。长话短说,我注意到可以上网的机器已禁用 DHCP。其他每台机器都启用了 DHCP,并且不知何故将其 DNS 服务器从我们的 ISP 提供的服务器更改为我不熟悉的内部地址,而不是我们通常的网络前缀。
- 我们的正常网络前缀:192.168.168.xxx
- 代替我们 ISP DNS 的 DNS:192.168.15.1(又名神秘 IP)
信息:
- Windows 7 专业版 64 位
- 绑定的 ADSL 调制解调器桥接至 Sonicwall TZ105 防火墙
- Sonicwall 将 X0 LAN 接口输出到交换机,交换机通过基础设施链接到用户办公桌旁边的交换机,然后链接到用户的机器。
- 我无法 ping 神秘 IP,什么也得不到
- 硬件防火墙提供 DHCP
所有机器都显示网络连接,但无法浏览或从 Exchange 服务器检索电子邮件。当我运行 Windows 诊断程序时,它告诉我配置正确,但 DNS 服务器没有响应。我将 DNS 服务器改回我们的 ISP 服务器,一切正常。在某些情况下,我还必须将默认网关从神秘的 IP 改回我们的硬件防火墙。
我仍在试图弄清楚周末发生了什么,导致了这个问题;其他类似的问题似乎都围绕着连接到我们网络的其他 DHCP 服务器(恶意 DHCP 服务器问题),但我们的网络并没有连接任何不寻常的东西,而且据我所知,我们网络中没有其他任何东西提供 DHCP。
其他各类信息:
- 在我的工作站上运行 Debian 的 VM - 我几乎从不使用它
- 非工作站机器上的 XAMPP - 经常使用,但仅由我通过远程桌面使用
- Synology NAS 设备
我在这里瞎猜,所以不确定哪些信息有用。我担心的一点是,我们不知怎么遭到了攻击。我检查了防火墙日志,但它只回溯到今天早上 8:30,不知道为什么。
当然,我们非常感谢任何见解和建议。
编辑:查看 Sonicwall 的 DNS 设置,我发现它被设置为从 ISP DNS 服务器动态继承 DNS。此外,还有一个名为“DNS 重新绑定攻击预防”的选项已启用;这是我能猜到但不知道其全部含义的众多 Sonicwall 功能之一。