我们已经与恶意 DHCP 服务器斗争很长一段时间了。
用户应该位于 192.168.10.xx 网络上,其中 DNS 为 .14,网关为 .254,但这会将用户设置为位于 192.168.30.xx 子网上,其中 DNS 和网关均为 xx30.1。
我们的站点由 Windows Server 2012 组成,另外还有 2 台虚拟机也运行 Server 2012(一个 Exchange Server 和一个终端服务器)。
我们的主要 Draytek 路由器 (xx10.254) 连接到 ISP 提供的以太网 WAN 交换机和无线以太网调制解调器。它将用户指向预配置的 .14 DNS/DHCP Windows 服务器。
然后使用 Netgear R7000 作为无线接入点。DHCP 被禁用,并将用户指向 xx10.14。这为工厂笔记本电脑提供了额外的 WiFi 覆盖范围。
最初我怀疑是 R7000 的问题,但在将其安装到自定义固件后,问题仍然存在。
该问题可能发生在以太网硬线上的两个用户以及两个 WiFi 上。
运行一些网络扫描后,我可以看到 xx30.1 的 MAC 地址为 00-ac-a8-72-ed-2e。但这似乎对我找到它没有任何帮助。因为它不属于任何已知制造商。
提前致谢,我希望这些信息足够。
编辑:我找到了答案!
原来有一个旧的 VPN(SoftEther)服务,它启用了 DHCP 服务来处理传入连接。不知道是怎么回事,但它肯定搞混了,处理了网络中一半的 PC
答案1
允许恶意/不受控制的 DHCP 服务器进入您的网络是一个严重的安全问题。DHCP 服务器可以轻松强制所有流量通过攻击者的服务器,随意扫描和操纵它。
您需要管理交换机。使用 DHCP 服务器的 MAC 地址,您可以跟踪该地址到交换机端口并跟踪电缆。
此外,你还需要DHCP 侦听在您的交换机上。DHCP 监听通过您实际使用的 DHCP 服务器和端口进行配置,并锁定所有其他服务器和端口。
此外,您还需要一个网络策略来定义谁可以设置或授权网络设备和服务。所有用户和其他有权访问您网络的人都必须遵守此策略。