0

關於最短時間發現IP衝突的PC..解決方案

chaconx 5 年前23626 瀏覽

情境如下

某企業有五個樓層,
5F_ VLAN 5 DHCP 分配 192.168.50.10~111/24
4F_ VLAN 4 DHCP 分配 192.168.40.10~111/24
3F_ VLAN 3 DHCP 分配 192.168.30.10~111/24
2F_ VLAN 2 DHCP 分配 192.168.20.10~111/24
1F_ VLAN 1 DHCP 分配 192.168.10.10~111/24

每樓層Client端User 皆100 人

某一天當某人(非公司員公使用自己筆電上網)

使用重複IP(手動設置IP),恰巧IP與DHCP Server IP 設定一樣

想請問有經驗的網管高手,(1)如何在最短時間,(2)找到這位IP 衝突使用者位於所在地

以及請提供最有效率處理此情境方法(於100人樓層中快速找IP衝突User)...謝謝!

PS. 假設對方Netbios 未能透過相關IPSCAN辨識出來*

14
cklin
iT邦新手 2 級 ‧ 5 年前
最佳解答

情境之外

通常企業在設定DHCP Server 時,網段區隔是很重要的
雖然已經設定了5個樓層的Client VLAN,但大多會再設定2個VLAN,1個是Server VLAN,另外一個是Device VLAN
而DHCP Server 設置於 Server VLAN,對於 Client DHCP分配採用 DHCP Relay 技術來作,每個網路設備都指定DHCP Relay 為公司的DHCP Server
Device VLAN是收容網路設備以及其他非PC/Server等上網設備

套用到情境中 Server VLAN IP網段可規劃為 192.168.1.0~250/24
Device VLAN IP網段可規劃為 192.168.0.0~254/24

如此,因為每個網路設備都指定DHCP Relay 為公司的DHCP Server
所以不會發生DHCP Server IP 被一般User搶走/重複的狀況,
同時可在Routing進Server VLAN之間加裝防火牆/IDS/防毒牆....等機制確保主機群的安全防護

============================================================
回到情境之中
萬一真的沒有設定 Server VLAN, 不幸地DHCP Server IP 被搶走/重複的狀況出現
先到其中一台DHCP Client 用 ipconfig /all 指令,找到偽配發的 DHCP Server IP,再用 arp -a 反解出偽 DHCP Server的MAC Address
從網路設備Switch MAC<->Port 對應表中找到是哪個Switch Port, 下指令關閉Disable Switch Port
讓偽 DHCP Server的主人自動來求饒,解開網路Switch Port

12
kradark
iT邦好手 1 級 ‧ 5 年前

A1: 不知道對不對!

  1. traceroute ip找出所在vlan
  2. 進switch看arp table
  3. 再看是哪個port!

A2: 也不知道對不對!
DHCP主機使用固定MAC配固定IP, 不在permit的mac list, 全部block起來

14
zyman2008
iT邦高手 1 級 ‧ 5 年前

步驟:

  1. server 離線
  2. 在 L3 switch上 ping server IP address.
    show arp 找到下接的 port 和 MAC address.
  3. 如果下接的 switch 有網管功能, 在每層 switch 查 MAC table.
    一路找下去看兇手是接在哪個 port.
    如果 switch 沒網管, 就麻煩了. 只能先在上層把這個 MAC address 封掉,
    先避免影響 server.
10
sailsolitary
iT邦研究生 2 級 ‧ 5 年前

我提供我想到的方法
概然是每層都有用 Vlan 去切割, 那每個人的IP跟MAC應該都是固定的, 那如果當某個IP衝突的時候, 會影的到的一定是其中一個人, Switch 或是 Router 上會出現兩個不同的MAC在搶同一個IP, 這情形, 就是把外來的MAC擋掉, 這樣對方就沒有辦法使用該網卡在公司環境上網了~

查尋的方式, 就要看Switch/Router有沒有這個功能, 或是使用該樓層的電腦去查詢這台電腦的MAC.

例如5F的 192.168.50.88 的IP被搶, 那先讓原先使用88的電腦中斷網路或拔掉網路線, 其它電腦去Ping 192.168.50.88, 在輸入 arp -p 查詢現在 88 電腦的MAC, 再到Switch/Router把這個MAC列入黑名單中.

如果 Switch或是Router可以記錄 MAC , 那建議使用白名單的設定方式, 會比較方便.

至於要找出這個兇手, 我想比較困難, 除非樓主準備了一些特殊軟體, 抓到入侵者後讓該電腦發出聲響或是取得該電腦的詳細資料, 不然要抓到是誰應該不太容易.

chesterhwang iT邦新手 4 級 ‧ 5 年前 檢舉

呵呵
這個問題如果沒有工具其實不是很好解決
一般來說就只能看arp相關的資訊
可以從coreswitch上面去看
不過通常發生ip衝突大概就一瞬間
所以事後要找不是那麼容易
可以用一些IP資源管理的工具來解決
有興趣可以聯絡我
chesterh@aserve.com.tw

dano iT邦新手 5 級 ‧ 5 年前 檢舉

1 已經切割Vlan 所以應該可以確認是哪個樓層的DHCP IP被冒用
2 找出該電腦的MAC (2種方式 1種是DHCP 離線 ,用client ping dhcp server IP ,用Arp -a 找出MAC ,一種是用聽的用wireshark 看封包 找出MAC
3 到switch 上看該MAC 是從哪個PORT出來的

我要發表回答

立即登入回答