會員中心 | iThome online | iT邦部落格 | 小7聚樂部 | iThome download | apphome

載入中...

chaconx

iT邦初學者
10級

關於最短時間發現IP衝突的PC..解決方案
標籤:ip 衝突

情境如下

某企業有五個樓層,
5F_ VLAN 5 DHCP 分配 192.168.50.10~111/24
4F_ VLAN 4 DHCP 分配 192.168.40.10~111/24
3F_ VLAN 3 DHCP 分配 192.168.30.10~111/24
2F_ VLAN 2 DHCP 分配 192.168.20.10~111/24
1F_ VLAN 1 DHCP 分配 192.168.10.10~111/24

每樓層Client端User 皆100 人

某一天當某人(非公司員公使用自己筆電上網)

使用重複IP(手動設置IP),恰巧IP與DHCP Server IP 設定一樣

想請問有經驗的網管高手,(1)如何在最短時間,(2)找到這位IP 衝突使用者位於所在地

以及請提供最有效率處理此情境方法(於100人樓層中快速找IP衝突User)...謝謝!

PS. 假設對方Netbios 未能透過相關IPSCAN辨識出來*

PS_假設我是想要即刻找到_那個人?(巴那個罪魁禍首的頭)..是否有能一眼看

穿..那位罪魁禍首..那台PC所在地"_有於每樓層有100 USER ,這其中串接了

數台SWITCH..即刻緊急處理..

2010-10-14 23:41:02 補充


發佈到:發佈到Facebook 發佈到噗浪 發佈到twitter
分享時間:2010-10-14 21:54:17
▼ ADVERTISEMENT ▼

最佳解答(發問者自選)
6

回答:cklin ( iT邦初學者7級 )

時間:2010-10-15 09:40:14

情境之外

通常企業在設定DHCP Server 時,網段區隔是很重要的
雖然已經設定了5個樓層的Client VLAN,但大多會再設定2個VLAN,1個是Server VLAN,另外一個是Device VLAN
而DHCP Server 設置於 Server VLAN,對於 Client DHCP分配採用 DHCP Relay 技術來作,每個網路設備都指定DHCP Relay 為公司的DHCP Server
Device VLAN是收容網路設備以及其他非PC/Server等上網設備

套用到情境中 Server VLAN IP網段可規劃為 192.168.1.0~250/24
Device VLAN IP網段可規劃為 192.168.0.0~254/24

如此,因為每個網路設備都指定DHCP Relay 為公司的DHCP Server
所以不會發生DHCP Server IP 被一般User搶走/重複的狀況,
同時可在Routing進Server VLAN之間加裝防火牆/IDS/防毒牆....等機制確保主機群的安全防護

============================================================
回到情境之中
萬一真的沒有設定 Server VLAN, 不幸地DHCP Server IP 被搶走/重複的狀況出現
先到其中一台DHCP Client 用 ipconfig /all 指令,找到偽配發的 DHCP Server IP,再用 arp -a 反解出偽 DHCP Server的MAC Address
從網路設備Switch MAC<->Port 對應表中找到是哪個Switch Port, 下指令關閉Disable Switch Port
讓偽 DHCP Server的主人自動來求饒,解開網路Switch Port
2010-10-15 10:20:06補充
如果想要即刻找到_那個人?(巴那個罪魁禍首的頭)....



平常網管工作要做好--

每個Switch port 對應辦公區域佈線位置的圖面資料要收集齊全

照上面的方法確認出是哪個Switch port就可以對應到圖面位置

有位置以後,就......嘿......派出〔霹靂小組〕進行圍捕,

直接站到那個人身後,看到他的主機在作什麼事,如證據確鑿,看要怎麼巴,就.........



以前我常幹這種事情,1萬個點的廠區30分鐘內可以定位,找到罪魁禍首

請以此為目標吧~
關於最短時間發現IP衝突的PC..解決方案
iT邦幫忙MVP
回答:kradark( iT邦初學者1級 )
時間:2010-10-14 23:26:11
6
A1: 不知道對不對!
1. traceroute ip找出所在vlan
2. 進switch看arp table
3. 再看是哪個port!

A2: 也不知道對不對!
DHCP主機使用固定MAC配固定IP, 不在permit的mac list, 全部block起來
回答:zyman2008( iT邦高手7級 )
時間:2010-10-15 00:03:45
7
步驟:
1. server 離線
2. 在 L3 switch上 ping server IP address.
show arp 找到下接的 port 和 MAC address.
3. 如果下接的 switch 有網管功能, 在每層 switch 查 MAC table.
一路找下去看兇手是接在哪個 port.
如果 switch 沒網管, 就麻煩了. 只能先在上層把這個 MAC address 封掉,
先避免影響 server.

參考資料:自己的經驗

回答:sailsolitary( iT邦初學者2級 )
時間:2010-10-15 10:43:47
5
我提供我想到的方法
概然是每層都有用 Vlan 去切割, 那每個人的IP跟MAC應該都是固定的, 那如果當某個IP衝突的時候, 會影的到的一定是其中一個人, Switch 或是 Router 上會出現兩個不同的MAC在搶同一個IP, 這情形, 就是把外來的MAC擋掉, 這樣對方就沒有辦法使用該網卡在公司環境上網了~

查尋的方式, 就要看Switch/Router有沒有這個功能, 或是使用該樓層的電腦去查詢這台電腦的MAC.

例如5F的 192.168.50.88 的IP被搶, 那先讓原先使用88的電腦中斷網路或拔掉網路線, 其它電腦去Ping 192.168.50.88, 在輸入 arp -p 查詢現在 88 電腦的MAC, 再到Switch/Router把這個MAC列入黑名單中.

如果 Switch或是Router可以記錄 MAC , 那建議使用白名單的設定方式, 會比較方便.

至於要找出這個兇手, 我想比較困難, 除非樓主準備了一些特殊軟體, 抓到入侵者後讓該電腦發出聲響或是取得該電腦的詳細資料, 不然要抓到是誰應該不太容易.

參考資料:經驗

[-隱藏]

回應 sailsolitary

1

chesterhwang 說:

呵呵
這個問題如果沒有工具其實不是很好解決
一般來說就只能看arp相關的資訊
可以從coreswitch上面去看
不過通常發生ip衝突大概就一瞬間
所以事後要找不是那麼容易
可以用一些IP資源管理的工具來解決
有興趣可以聯絡我
chesterh@aserve.com.tw

2010-10-31 12:54:42

2

dano 說:

1 已經切割Vlan 所以應該可以確認是哪個樓層的DHCP IP被冒用
2 找出該電腦的MAC (2種方式 1種是DHCP 離線 ,用client ping dhcp server IP ,用Arp -a 找出MAC ,一種是用聽的用wireshark 看封包 找出MAC
3 到switch 上看該MAC 是從哪個PORT出來的  

2010-11-01 07:50:40

回應

請填寫您的回應,長度限為1,000個字,回應不計點數,也不限使用次數



 

檢舉違規

違規事項:

*補充檢舉理由(可省略),字數不可超過100字

推薦

推薦理由:


*給回答者的鼓勵(可不填),字數不可超過100字

哈哈
毆飛
開心
抗議
落寞
睡覺
噴鼻血
No
失神
爆氣
疑惑
Orz
不耐煩
喜歡
臉紅
噎到
放手
打嗑睡
掰掰
放馬過來
敲碗
簽名
筆記
拍手
沙發
XD
無言
偷笑
翻桌
謝謝
灑花
抱抱
逃跑
炸死你
愛你
生日快樂
rock
嘆氣
下雨
衝刺
搖頭
拍照
打球
健身
駭客
射門
泡湯
踹共
唱歌
做菜

上傳圖片
▼ ADVERTISEMENT ▼

邦友收藏動態

最新收藏最多人推最多人收

新增收藏

收藏到iT邦 書籤小工具

「收藏到iT邦」讓你更方便收藏站外文章。可用下面其中一種方法安裝:

  • 拖拉上面的「收藏到iT邦」連結到瀏覽器的書籤列
  • 在連結上方按右鍵,選擇「加到我的最愛」

之後看到喜歡的站外文章,只要點一下「收藏到iT邦」,就會收藏起來囉

安裝「收藏快捷鍵」

安裝「收藏快捷鍵」,可以讓邦友直接透過Google工具列上的按扭,快速收藏站內、站外的網頁。

訂閱每日摘要

iT邦幫忙即日起提供「每日摘要」給尚未註冊的邦友,只要輸入您的E-mail,每日就可以收到最新的發問與分享