閱讀(9842)
點數(10)
|
|
|
情境如下
某企業有五個樓層,
5F_ VLAN 5 DHCP 分配 192.168.50.10~111/24
4F_ VLAN 4 DHCP 分配 192.168.40.10~111/24
3F_ VLAN 3 DHCP 分配 192.168.30.10~111/24
2F_ VLAN 2 DHCP 分配 192.168.20.10~111/24
1F_ VLAN 1 DHCP 分配 192.168.10.10~111/24
每樓層Client端User 皆100 人
某一天當某人(非公司員公使用自己筆電上網)
使用重複IP(手動設置IP),恰巧IP與DHCP Server IP 設定一樣
想請問有經驗的網管高手,(1)如何在最短時間,(2)找到這位IP 衝突使用者位於所在地
以及請提供最有效率處理此情境方法(於100人樓層中快速找IP衝突User)...謝謝!
PS. 假設對方Netbios 未能透過相關IPSCAN辨識出來*
PS_假設我是想要即刻找到_那個人?(巴那個罪魁禍首的頭)..是否有能一眼看
穿..那位罪魁禍首..那台PC所在地"_有於每樓層有100 USER ,這其中串接了
數台SWITCH..即刻緊急處理..
於 2010-10-14 23:41:02 補充
發佈到:
|
分享時間:2010-10-14 21:54:17 |
|
▼ ADVERTISEMENT ▼
|
通常企業在設定DHCP Server 時,網段區隔是很重要的
雖然已經設定了5個樓層的Client VLAN,但大多會再設定2個VLAN,1個是Server VLAN,另外一個是Device VLAN
而DHCP Server 設置於 Server VLAN,對於 Client DHCP分配採用 DHCP Relay 技術來作,每個網路設備都指定DHCP Relay 為公司的DHCP Server
Device VLAN是收容網路設備以及其他非PC/Server等上網設備
套用到情境中 Server VLAN IP網段可規劃為 192.168.1.0~250/24
Device VLAN IP網段可規劃為 192.168.0.0~254/24
如此,因為每個網路設備都指定DHCP Relay 為公司的DHCP Server
所以不會發生DHCP Server IP 被一般User搶走/重複的狀況,
同時可在Routing進Server VLAN之間加裝防火牆/IDS/防毒牆....等機制確保主機群的安全防護
============================================================
回到情境之中
萬一真的沒有設定 Server VLAN, 不幸地DHCP Server IP 被搶走/重複的狀況出現
先到其中一台DHCP Client 用 ipconfig /all 指令,找到偽配發的 DHCP Server IP,再用 arp -a 反解出偽 DHCP Server的MAC Address
從網路設備Switch MAC<->Port 對應表中找到是哪個Switch Port, 下指令關閉Disable Switch Port
讓偽 DHCP Server的主人自動來求饒,解開網路Switch Port
平常網管工作要做好--
每個Switch port 對應辦公區域佈線位置的圖面資料要收集齊全
照上面的方法確認出是哪個Switch port就可以對應到圖面位置
有位置以後,就......嘿......派出〔霹靂小組〕進行圍捕,
直接站到那個人身後,看到他的主機在作什麼事,如證據確鑿,看要怎麼巴,就.........
以前我常幹這種事情,1萬個點的廠區30分鐘內可以定位,找到罪魁禍首
請以此為目標吧~
|
|
|
回答:1. traceroute ip找出所在vlan
2. 進switch看arp table
3. 再看是哪個port!
A2: 也不知道對不對!
DHCP主機使用固定MAC配固定IP, 不在permit的mac list, 全部block起來
回答:1. server 離線
2. 在 L3 switch上 ping server IP address.
show arp 找到下接的 port 和 MAC address.
3. 如果下接的 switch 有網管功能, 在每層 switch 查 MAC table.
一路找下去看兇手是接在哪個 port.
如果 switch 沒網管, 就麻煩了. 只能先在上層把這個 MAC address 封掉,
先避免影響 server.
參考資料:自己的經驗
概然是每層都有用 Vlan 去切割, 那每個人的IP跟MAC應該都是固定的, 那如果當某個IP衝突的時候, 會影的到的一定是其中一個人, Switch 或是 Router 上會出現兩個不同的MAC在搶同一個IP, 這情形, 就是把外來的MAC擋掉, 這樣對方就沒有辦法使用該網卡在公司環境上網了~
查尋的方式, 就要看Switch/Router有沒有這個功能, 或是使用該樓層的電腦去查詢這台電腦的MAC.
例如5F的 192.168.50.88 的IP被搶, 那先讓原先使用88的電腦中斷網路或拔掉網路線, 其它電腦去Ping 192.168.50.88, 在輸入 arp -p 查詢現在 88 電腦的MAC, 再到Switch/Router把這個MAC列入黑名單中.
如果 Switch或是Router可以記錄 MAC , 那建議使用白名單的設定方式, 會比較方便.
至於要找出這個兇手, 我想比較困難, 除非樓主準備了一些特殊軟體, 抓到入侵者後讓該電腦發出聲響或是取得該電腦的詳細資料, 不然要抓到是誰應該不太容易.
參考資料:經驗
[-隱藏]
回應 sailsolitary:
1
chesterhwang 說:
呵呵
這個問題如果沒有工具其實不是很好解決
一般來說就只能看arp相關的資訊
可以從coreswitch上面去看
不過通常發生ip衝突大概就一瞬間
所以事後要找不是那麼容易
可以用一些IP資源管理的工具來解決
有興趣可以聯絡我
chesterh@aserve.com.tw
2010-10-31 12:54:42
2
dano 說:
1 已經切割Vlan 所以應該可以確認是哪個樓層的DHCP IP被冒用
2 找出該電腦的MAC (2種方式 1種是DHCP 離線 ,用client ping dhcp server IP ,用Arp -a 找出MAC ,一種是用聽的用wireshark 看封包 找出MAC
3 到switch 上看該MAC 是從哪個PORT出來的
2010-11-01 07:50:40
回應 :
請填寫您的回應,長度限為1,000個字,回應不計點數,也不限使用次數
邦友收藏動態
安裝「收藏快捷鍵」相關問答
- 使用IP-MAC Lock Switch 需要一筆一筆鍵入使用者的IP和MAC嗎 ?
- 您該怎麼解決衝突-兩戶間的紛擾影響到整棟安寧(問題的處置與權力資源的運用)
- ip domain-name xxx.xx
- 1台小烏龜 2個固定IP 2台IP分享器 下面的電腦如何設定網路芳鄰
- 如何查詢地區性的所有IP網段 ?
- MSMQ 是否會紀錄 A ip的資料傳送到B ip這一段的過程,會不會儲存在日誌中
- IP PHONE 可以與門口機結合當作開門工具嗎 ?
- 有何方法可以得知某設備的IP?
- 限制 DHCP環境下 IP 流量異常的方法 ??
- 利用 GeoIP 列出某地區的所有IP網段
- AD如換ip有甚麼需要注意的
- 一定要把所有Switch都換掉才能控管IP和MAC嗎 ?
- switch對每個port設定可用ip,要怎麼選購switch
- 在 50 PC 都是 DHCP 取得 ip 之下要 telnet 到 Linux 無法登入
- 無線AP,只要達到一定人數,就會出現無法取得IP的問題
- FWD:請教IP分享器如何防止被破解登入....
- VISTA TCP/IP 線程數 這是甚麼?
- 同一台 Server 怎樣設置 2 個不同網段的 IP 呢??
- Red5 主機的5080 port 如何從其他電腦用ip:5080連線
- 關於php.ini 的設定在哪裏呢?不同網站有不同的設定怎麼辦?