V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lzbnet
V2EX  ›  宽带症候群

公司有人私接路由器并开了 DHCP 影响正式的 DHCP 服务分配 IP,人比较多, 100 多号人,怎么查比较高效?谢谢

  •  
  •   lzbnet · 2018-05-12 01:29:47 +08:00 · 9984 次点击
    这是一个创建于 2387 天前的主题,其中的信息可能已经有所发展或是发生改变。
    57 条回复    2020-07-29 11:09:22 +08:00
    EarthChild
        1
    EarthChild  
       2018-05-12 01:33:15 +08:00
    逐个 IP 禁网……禁一个 IP,好多人反馈说上不去网那就是这个 IP 在私自接咯。不知道 IP 是谁的,那就走实名制咯
    mhycy
        2
    mhycy  
       2018-05-12 01:50:14 +08:00   ❤️ 2
    抓包能看到响应 DHCP 广播请求的服务器 IP,找到 IP 再找设备,如果交换机带网管,至少能查到端口

    另: 曾经二层 VPN 桥配置错误导致数百公里外的另一个 DHCP 服务器污染了办公内网
    还好延迟能看出来不在同一个地方。。。
    Linxing
        3
    Linxing  
       2018-05-12 01:53:24 +08:00 via iPhone
    找 DHCP 啊
    bellchu
        4
    bellchu  
       2018-05-12 04:33:07 +08:00 via Android
    1,看找事 DHCP 的 IP 地址,然后看 ARP 记录对应的 Mac 地址
    2,交换机找到该 Mac 的端口,直接拔线
    dndx
        5
    dndx  
       2018-05-12 04:42:44 +08:00   ❤️ 1
    上企业级三层交换,将所有客户端的端口设为 DHCP untrusted。这种攻击对于三层交换机处理起来都是小菜一碟。不仅会过滤而且还会记录具体哪个端口发的包的日志。

    比如 Juniper 对此的文档介绍:
    https://www.juniper.net/documentation/en_US/junos/topics/example/port-security-protect-from-rogue-dhcp-servers.html
    s82kd92l
        6
    s82kd92l  
       2018-05-12 05:08:32 +08:00 via Android
    @dndx ipv6 普及在即,建议上三层交换真的合适么?
    dndx
        7
    dndx  
       2018-05-12 05:17:20 +08:00
    @s82kd92l 别的不知道,JunOS 早都支持 IPv6 Router Advertisement Guard 和 DHCPv6 Snooping 了所以就算 IPv6 环境下也可以防范类似攻击。
    datocp
        8
    datocp  
       2018-05-12 06:29:10 +08:00 via Android
    普通环境就有点搞了。如果中间再经过 N 个交换机。。。
    首先去获得流氓 dhcp 的网关 mac,根据 mac 去搜索是什么厂家的。然后去网关上查找类似 mac 的 ip 通常都是最后一位有变化。然后如果是 linux 网关,可以用 iptables 或者 arp -s 来强制让这个 mac 地址不能上网,让对方来找你,但是这样无法解决 dhcp 分配错乱虽然用 ebtables 可以隔离非法 dhcp。
    拔线法,网关通过 ping ip 逐个拔线,来确定在哪个未端,然后去顺藤摸瓜,说不定通过 wifi 连接管理器在附近能找到一个类似 mac 发出的 wifi 信号,通过走动判断信号强度来找到,再不行发动群众关系,群众不揭露直接拔线全体罚款。。。
    likaci
        9
    likaci  
       2018-05-12 06:35:54 +08:00 via iPhone
    上次遇见过一个,好在管理员密码是默认的,上去关了 dhcp 然后重启就了
    sholmesian
        10
    sholmesian  
       2018-05-12 08:56:14 +08:00 via iPhone
    @datocp 私接路由上 WAN 和 LAN 口的 MAC 地址都是不同的,你的方法大概率找不出肇事者。

    一般会搞得影响上级路由多半是 LAN 和 WAN 混接了,逐级的 MTU VLAN 对这种问题简单有效。


    无管理功能的网络设备较难处理该问题,不妨试试获取问题 IP 再用默认管理员密码登陆肇事路由设备吧。
    DevNet
        11
    DevNet  
       2018-05-12 09:09:32 +08:00 via Android
    在你们的接入交换机上设置 DHCP SNOOPING,上连口设置为 trust,只允许信任的接口有 dhcp server
    29EtwXn6t5wgM3fD
        12
    29EtwXn6t5wgM3fD  
       2018-05-12 09:14:22 +08:00 via iPhone
    可以找个电脑临时装个 爱快 高恪之类的软路由,里面都有 dhcp 检测
    itzamana
        13
    itzamana  
       2018-05-12 09:40:36 +08:00
    全体开个会, 告知大家有人私接路由器, 并说从这个月开始实行以下 3 点规则
    1, 如果没人承认, 那么直到有人承认为止全公司每人每月扣 500 元
    2, 如果有人承认了并且确实是他的话, 这月扣 300 元并警告
    3, 如果有人检举揭发成功, 被检举人这月扣 1000 元并警告, 检举人匿名获得 500 元奖励

    不知道几天内出效果?
    Cambrian07
        14
    Cambrian07  
       2018-05-12 09:53:18 +08:00 via Android   ❤️ 8
    @itzamana 这个做法有点激进啊,应该会有不少人辞职吧
    ryd994
        15
    ryd994  
       2018-05-12 09:59:27 +08:00 via Android   ❤️ 8
    @itzamana 无故克扣工资,仲裁见
    谁不辞职谁傻
    mengyaoss77
        16
    mengyaoss77  
       2018-05-12 10:07:44 +08:00 via Android
    抓包吧。
    不过很好奇是怎么影响的,那人插 lan 口应该网关 ip 冲突了才对吧。 如果没冲突那就是改了路由器 IP,可以定性为恶意的了
    lihongming
        17
    lihongming  
       2018-05-12 10:13:06 +08:00 via Android
    @itzamana 小破网管能有这权力的公司不多,多半是毫无地位的底层技术员,出了问题只能亲自去解决,解决不好还得被领导骂,最后被扣工资的那个人很有可能是这个网管
    missdeer
        18
    missdeer  
       2018-05-12 10:36:47 +08:00
    100 多号人不多啊,吼一声不行?
    akaayy
        19
    akaayy  
       2018-05-12 10:38:53 +08:00 via Android
    arp -a
    可以找到肇事者的 MAC 地址
    Devin
        20
    Devin  
       2018-05-12 11:01:36 +08:00 via iPhone
    如果是路由器当交换机用,也就是说都接 lan 口,怕是不好办吧,100 多台电脑在下班后粗略看一下有没有接设备花不了多少时间
    snnn
        21
    snnn  
       2018-05-12 11:02:26 +08:00
    不一定是路由器,很有可能是 vmware 之类的东西。路由器如果口没插错,wan 口不会响应 dhcp 请求的。
    慢慢查吧
    s82kd92l
        22
    s82kd92l  
       2018-05-12 11:27:10 +08:00
    @dndx 我的意思是说 3 层路由器在转发时是用到 asic 来转发 IP 包,同时支持 v4/v6 难度比普通 cpu 路由系统大很多。如果 v6 普及了,原来很多旧的 3 层交换可能就只能当普通交换机用了。
    RHFS
        23
    RHFS  
       2018-05-12 11:34:20 +08:00 via iPhone
    去工位走一圈 直接看谁插了路由器 应该不是故意的 所以不会怎么藏
    哈哈最后发现是老板办公室 老板嫌信号不好自己装了一个并且分不清 wan 口 lan 口
    z15858167
        24
    z15858167  
       2018-05-12 11:50:35 +08:00 via Android
    @s82kd92l 企业 natipv4 就够了用啥 V6
    HongHoo
        25
    HongHoo  
       2018-05-12 11:54:19 +08:00
    交换机上开启 DHCP SNOOP 功能,连接 DHCP SERVER 的接口配置成信任接口。
    这样即使网络中存在其他非法的 DHCP SERVER,也不会影响到现网。
    Humorce
        26
    Humorce  
       2018-05-12 11:54:53 +08:00 via iPhone
    100 多个人,用眼睛看比较快。
    robin001
        27
    robin001  
       2018-05-12 12:37:57 +08:00 via iPhone
    直接看陌生无线信号最强的地方不是更直接吗
    znnztg
        28
    znnztg  
       2018-05-12 12:56:48 +08:00
    一劳永逸的方法:接入交换机配置 DHCP Snooping
    7654
        29
    7654  
       2018-05-12 13:00:32 +08:00
    既然已经被分配了错误的 ip,直接登录该网关 IP,密码一般不会改,默认密码即可,上去关掉 dhcp
    即使密码不对,也可以知道型号,这时候行政手段比技术手段有效多了
    abu
        30
    abu  
       2018-05-12 13:13:38 +08:00
    办公群里吼一声啊
    likey2018
        31
    likey2018  
       2018-05-12 13:20:46 +08:00
    我这出现过类似情,有人接路由器时把线接到路由器的 LAN 上面了,结果导致电脑大面积出现网络异常( DHCP 分配异常),不要费心去找什么方法了,人不多直接去找找就好
    wekw
        32
    wekw  
       2018-05-12 13:58:05 +08:00   ❤️ 3
    13 楼的处理方式可以说是很具有中国私企特色了,小老板随意鱼肉员工。
    loser
        33
    loser  
       2018-05-12 15:08:17 +08:00
    既然是路由器那就扫一下 80 端口嘛,很快就能筛选出来几个嫌疑 Ip,再看看 22 啊 53 啊什么的
    WordTian
        34
    WordTian  
       2018-05-12 15:40:12 +08:00 via Android
    13 楼的方法,在技术社区用行政手段搞定问题,坐等被喷
    skylancer
        35
    skylancer  
       2018-05-12 15:51:39 +08:00
    回复的某人技术水平也是堪忧
    话说行政手段的那位更 6.。。
    Devin
        36
    Devin  
       2018-05-12 16:14:50 +08:00 via iPhone
    @loser 那路由器 Wan 口没接线呢?
    taresky
        37
    taresky  
       2018-05-12 16:18:22 +08:00
    @itzamana 这是傻逼公司待久了被洗脑了吧
    Ansen
        38
    Ansen  
       2018-05-12 16:49:48 +08:00
    百多号人,挨着走一圈就能找着了,不要把简单的事情搞复杂了
    bclerdx
        39
    bclerdx  
       2018-05-12 17:03:30 +08:00
    @taresky 确实被洗脑了。
    bclerdx
        40
    bclerdx  
       2018-05-12 17:04:57 +08:00
    LZ,你应该了解一下人家为什么私自接路由器,我想还是人性化一些吧,私接路由器的人肯定是有需求,而公司不满满足他。
    mandymak
        41
    mandymak  
       2018-05-12 17:13:10 +08:00
    @bclerdx 有需求并不代表那人有权限。
    newtype0092
        42
    newtype0092  
       2018-05-12 17:14:53 +08:00
    @WordTian 用行政的手段搞定当然没问题啊,群里问一声的事非要费劲调查才是写代码写傻了。
    13 楼只是自己的方法又蠢影响又坏,和用不用行政手段没关系。
    顺便说一句,如果群里问都没人承认或者知情隐瞒的话,这种公司快散了吧,100 个人还是技术就开始勾心斗角了,能做大就见鬼了。。。
    itzamana
        43
    itzamana  
       2018-05-12 20:05:48 +08:00
    哈哈, 我就知道我写那个会被喷, 不过我还是写了, 目的其实和 32 楼想表达的意思一样. 因为西安有一些公司确实会这样搞...不是指这个事情, 是类似的情况...他们确实会赌你不会去付出那费时费力的维权成本来获得不相称的维权成功的经济收益.
    itzamana
        44
    itzamana  
       2018-05-12 20:13:57 +08:00
    另外告诉 34 楼, V2EX 不是技术社区, 并且"技术"这个词也不止是这些用电的设备才能用, 你的想法太狭义了.
    可以参考 /t/11789
    ZXCDFGTYU
        45
    ZXCDFGTYU  
       2018-05-12 21:25:10 +08:00   ❤️ 1
    公司群里发全体消息,或者邮件发送全体说明:

    1. 发生了什么事情;

    2. 为什么会发生;

    3. 结果导致了什么;

    4. 造成了多大的后果;

    5. 如果需要使用路由器应正确的怎么配置或者可以向公司行政部门申请一个配置好了的路由器;

    6. 然后说这次的事情如果自己私下或匿名承认是自己干的并恢复了使用或者自己撤下来设备,可以就此算了,但是如果是被查出来的话不会说不处理相关人员,但是会念在不知道的份上从轻处理,但是如果下次再发生直接从重扣相关人员和对应部门主管的工资和绩效,屡教不改直接通知人事让人当天收包滚蛋。

    这样的话,只要把事情说明白了,其实就可以做到大事化小,小事化无了。
    ZXCDFGTYU
        46
    ZXCDFGTYU  
       2018-05-12 21:26:20 +08:00
    有些事情真的不是说写代码就可以解决的,真不要觉得会搞技术的就是万能的了。有的时候利用行政手段远比自己抓包什么的来的快还见效好。
    mandymak
        47
    mandymak  
       2018-05-12 21:36:04 +08:00
    @ZXCDFGTYU 你没遇到过,我可遇到过正是公司负责网烙的 IT 人员私接路由器接错了导致 DHCP 乱发包(别问我怎么查出来是 IT 人员干的好事)。
    ZXCDFGTYU
        48
    ZXCDFGTYU  
       2018-05-12 21:38:59 +08:00
    @mandymak 这就蛋疼了.....如果实在禁不掉这种的话,就在公司内网上发个接路由器的说明文档吧,让他们自己瞎 jb 接还不如告诉那些人正确的接法,省的到时候添乱然后大家还用的都开心 2333
    ZXCDFGTYU
        49
    ZXCDFGTYU  
       2018-05-12 21:40:39 +08:00
    @mandymak 如果要是公司有严格要求不让接,而且实在是管不了的话那就别添乱就行,但是出问题了谁干的谁从重从严罚
    mandymak
        50
    mandymak  
       2018-05-12 21:47:35 +08:00
    @ZXCDFGTYU 那瞎 JB 是负责公司网络的 IT 人员,私接原因是架 ngrok / frp 客户端+纸飞机去使用公司专线。至于罚我没这个权力,我只负责管理专线,所以我直接封了那 IP 除正常上网外其他所有端口。
    ZXCDFGTYU
        51
    ZXCDFGTYU  
       2018-05-12 21:59:49 +08:00
    @mandymak 真是醉了,也没什么好办法
    tianyu1234
        52
    tianyu1234  
       2018-05-13 00:33:44 +08:00 via iPhone
    傻瓜路由器的话,进管理,用默认密码直接关 dhcp,改密码的话查路由器的品牌型号,有些傻瓜路由器可以无密码获取配置文件,然后什么 ssid 都出来了,再找路由器在哪就简单了
    msg7086
        53
    msg7086  
       2018-05-13 04:08:17 +08:00
    我自己就遇到过,公司网络里有一个设备会下发 192.168.1.100 ,百思不得其解,开着 dhcpcd 能看到 DHCP offer 来自同段某个 IP,但是这个 IP 既 ping 不通,也拿不到 MAC 地址(要不然直接查 MAC 就知道是什么设备了)。

    最后逐级插拔端口然后用 dhcpcd 测响应,最后定位到第二个办公室里的一台无线 AP。

    对你没看错,一台连路由器都不是的 AP。

    TP-Link 的低端货,跑久了会随机进入不正常工作模式,然后就会变成一个隐形 DHCP Server。

    解决方法很简单,重启 AP 即可。

    总结方法:开着 dhcpcd,黑名单掉正常段,只接受错段的 Offer,然后循环运行(比如 watch 命令),逐级插拔网线,当 Offer 消失的时候就知道问题从哪里来了。
    snsd
        54
    snsd  
       2018-05-14 08:09:04 +08:00 via iPhone
    @snnn 不太理解你说的“ wan 口不会响应 dhcp 请求”,wan 口如果是公司的线接进来,应该是会向上层设备申请一个 ip 的吧?
    Hardrain
        55
    Hardrain  
       2018-05-16 12:19:54 +08:00   ❤️ 1
    @snsd A 的 wan 口连上级 router(B)的 LAN
    A 的 DHCP 服务器不会向子网 B 广播 故无影响。

    问题是如果 A 的 LAN 连 B 的 LAN,两台还都开了 DHCP 服务器
    就有问题了。
    marsteel
        56
    marsteel  
       2018-05-21 16:01:05 +08:00
    @s82kd92l 我认为三层交换机转发是基于 mac 地址的,ipv6 并不改动以太网帧的 mac 地址。三层交换机支持 ipv6 是很简单的事情啊,傻瓜交换机都支持 ipv6,三层交换机反而不支持 ipv6 了?
    FlushHip
        57
    FlushHip  
       2020-07-29 11:09:22 +08:00
    上几天遇到了这个情况,做法也是找到默认网关,登陆上去,账号密码也没改,admin/admin 。DHCP 一关就好了;

    然后想,肯定是哪个二愣子 WAN,LAN 口分不清。结果你猜怎么着,TM 的那个 AP 只有两个口,而且都是 LAN 口,没有 WAN 口。。。

    人都直接傻了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   937 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 20:54 · PVG 04:54 · LAX 12:54 · JFK 15:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.