情境如下
某企業有五個樓層,
5F_ VLAN 5 DHCP 分配 192.168.50.10~111/24
4F_ VLAN 4 DHCP 分配 192.168.40.10~111/24
3F_ VLAN 3 DHCP 分配 192.168.30.10~111/24
2F_ VLAN 2 DHCP 分配 192.168.20.10~111/24
1F_ VLAN 1 DHCP 分配 192.168.10.10~111/24
每樓層Client端User 皆100 人
某一天當某人(非公司員公使用自己筆電上網)
使用重複IP(手動設置IP),恰巧IP與DHCP Server IP 設定一樣
想請問有經驗的網管高手,(1)如何在最短時間,(2)找到這位IP 衝突使用者位於所在地
以及請提供最有效率處理此情境方法(於100人樓層中快速找IP衝突User)...謝謝!
PS. 假設對方Netbios 未能透過相關IPSCAN辨識出來*
情境之外
通常企業在設定DHCP Server 時,網段區隔是很重要的
雖然已經設定了5個樓層的Client VLAN,但大多會再設定2個VLAN,1個是Server VLAN,另外一個是Device VLAN
而DHCP Server 設置於 Server VLAN,對於 Client DHCP分配採用 DHCP Relay 技術來作,每個網路設備都指定DHCP Relay 為公司的DHCP Server
Device VLAN是收容網路設備以及其他非PC/Server等上網設備
套用到情境中 Server VLAN IP網段可規劃為 192.168.1.0~250/24
Device VLAN IP網段可規劃為 192.168.0.0~254/24
如此,因為每個網路設備都指定DHCP Relay 為公司的DHCP Server
所以不會發生DHCP Server IP 被一般User搶走/重複的狀況,
同時可在Routing進Server VLAN之間加裝防火牆/IDS/防毒牆....等機制確保主機群的安全防護
============================================================
回到情境之中
萬一真的沒有設定 Server VLAN, 不幸地DHCP Server IP 被搶走/重複的狀況出現
先到其中一台DHCP Client 用 ipconfig /all 指令,找到偽配發的 DHCP Server IP,再用 arp -a 反解出偽 DHCP Server的MAC Address
從網路設備Switch MAC<->Port 對應表中找到是哪個Switch Port, 下指令關閉Disable Switch Port
讓偽 DHCP Server的主人自動來求饒,解開網路Switch Port
A1: 不知道對不對!
A2: 也不知道對不對!
DHCP主機使用固定MAC配固定IP, 不在permit的mac list, 全部block起來
步驟:
我提供我想到的方法
概然是每層都有用 Vlan 去切割, 那每個人的IP跟MAC應該都是固定的, 那如果當某個IP衝突的時候, 會影的到的一定是其中一個人, Switch 或是 Router 上會出現兩個不同的MAC在搶同一個IP, 這情形, 就是把外來的MAC擋掉, 這樣對方就沒有辦法使用該網卡在公司環境上網了~
查尋的方式, 就要看Switch/Router有沒有這個功能, 或是使用該樓層的電腦去查詢這台電腦的MAC.
例如5F的 192.168.50.88 的IP被搶, 那先讓原先使用88的電腦中斷網路或拔掉網路線, 其它電腦去Ping 192.168.50.88, 在輸入 arp -p 查詢現在 88 電腦的MAC, 再到Switch/Router把這個MAC列入黑名單中.
如果 Switch或是Router可以記錄 MAC , 那建議使用白名單的設定方式, 會比較方便.
至於要找出這個兇手, 我想比較困難, 除非樓主準備了一些特殊軟體, 抓到入侵者後讓該電腦發出聲響或是取得該電腦的詳細資料, 不然要抓到是誰應該不太容易.
呵呵
這個問題如果沒有工具其實不是很好解決
一般來說就只能看arp相關的資訊
可以從coreswitch上面去看
不過通常發生ip衝突大概就一瞬間
所以事後要找不是那麼容易
可以用一些IP資源管理的工具來解決
有興趣可以聯絡我
chesterh@aserve.com.tw
1 已經切割Vlan 所以應該可以確認是哪個樓層的DHCP IP被冒用
2 找出該電腦的MAC (2種方式 1種是DHCP 離線 ,用client ping dhcp server IP ,用Arp -a 找出MAC ,一種是用聽的用wireshark 看封包 找出MAC
3 到switch 上看該MAC 是從哪個PORT出來的