1
EarthChild 2018-05-12 01:33:15 +08:00
逐个 IP 禁网……禁一个 IP,好多人反馈说上不去网那就是这个 IP 在私自接咯。不知道 IP 是谁的,那就走实名制咯
|
2
mhycy 2018-05-12 01:50:14 +08:00 2
抓包能看到响应 DHCP 广播请求的服务器 IP,找到 IP 再找设备,如果交换机带网管,至少能查到端口
另: 曾经二层 VPN 桥配置错误导致数百公里外的另一个 DHCP 服务器污染了办公内网 还好延迟能看出来不在同一个地方。。。 |
3
Linxing 2018-05-12 01:53:24 +08:00 via iPhone
找 DHCP 啊
|
4
bellchu 2018-05-12 04:33:07 +08:00 via Android
1,看找事 DHCP 的 IP 地址,然后看 ARP 记录对应的 Mac 地址
2,交换机找到该 Mac 的端口,直接拔线 |
5
dndx 2018-05-12 04:42:44 +08:00 1
上企业级三层交换,将所有客户端的端口设为 DHCP untrusted。这种攻击对于三层交换机处理起来都是小菜一碟。不仅会过滤而且还会记录具体哪个端口发的包的日志。
比如 Juniper 对此的文档介绍: https://www.juniper.net/documentation/en_US/junos/topics/example/port-security-protect-from-rogue-dhcp-servers.html |
7
dndx 2018-05-12 05:17:20 +08:00
@s82kd92l 别的不知道,JunOS 早都支持 IPv6 Router Advertisement Guard 和 DHCPv6 Snooping 了所以就算 IPv6 环境下也可以防范类似攻击。
|
8
datocp 2018-05-12 06:29:10 +08:00 via Android
普通环境就有点搞了。如果中间再经过 N 个交换机。。。
首先去获得流氓 dhcp 的网关 mac,根据 mac 去搜索是什么厂家的。然后去网关上查找类似 mac 的 ip 通常都是最后一位有变化。然后如果是 linux 网关,可以用 iptables 或者 arp -s 来强制让这个 mac 地址不能上网,让对方来找你,但是这样无法解决 dhcp 分配错乱虽然用 ebtables 可以隔离非法 dhcp。 拔线法,网关通过 ping ip 逐个拔线,来确定在哪个未端,然后去顺藤摸瓜,说不定通过 wifi 连接管理器在附近能找到一个类似 mac 发出的 wifi 信号,通过走动判断信号强度来找到,再不行发动群众关系,群众不揭露直接拔线全体罚款。。。 |
9
likaci 2018-05-12 06:35:54 +08:00 via iPhone
上次遇见过一个,好在管理员密码是默认的,上去关了 dhcp 然后重启就了
|
10
sholmesian 2018-05-12 08:56:14 +08:00 via iPhone
@datocp 私接路由上 WAN 和 LAN 口的 MAC 地址都是不同的,你的方法大概率找不出肇事者。
一般会搞得影响上级路由多半是 LAN 和 WAN 混接了,逐级的 MTU VLAN 对这种问题简单有效。 无管理功能的网络设备较难处理该问题,不妨试试获取问题 IP 再用默认管理员密码登陆肇事路由设备吧。 |
11
DevNet 2018-05-12 09:09:32 +08:00 via Android
在你们的接入交换机上设置 DHCP SNOOPING,上连口设置为 trust,只允许信任的接口有 dhcp server
|
12
29EtwXn6t5wgM3fD 2018-05-12 09:14:22 +08:00 via iPhone
可以找个电脑临时装个 爱快 高恪之类的软路由,里面都有 dhcp 检测
|
13
itzamana 2018-05-12 09:40:36 +08:00
全体开个会, 告知大家有人私接路由器, 并说从这个月开始实行以下 3 点规则
1, 如果没人承认, 那么直到有人承认为止全公司每人每月扣 500 元 2, 如果有人承认了并且确实是他的话, 这月扣 300 元并警告 3, 如果有人检举揭发成功, 被检举人这月扣 1000 元并警告, 检举人匿名获得 500 元奖励 不知道几天内出效果? |
14
Cambrian07 2018-05-12 09:53:18 +08:00 via Android 8
@itzamana 这个做法有点激进啊,应该会有不少人辞职吧
|
16
mengyaoss77 2018-05-12 10:07:44 +08:00 via Android
抓包吧。
不过很好奇是怎么影响的,那人插 lan 口应该网关 ip 冲突了才对吧。 如果没冲突那就是改了路由器 IP,可以定性为恶意的了 |
17
lihongming 2018-05-12 10:13:06 +08:00 via Android
@itzamana 小破网管能有这权力的公司不多,多半是毫无地位的底层技术员,出了问题只能亲自去解决,解决不好还得被领导骂,最后被扣工资的那个人很有可能是这个网管
|
18
missdeer 2018-05-12 10:36:47 +08:00
100 多号人不多啊,吼一声不行?
|
19
akaayy 2018-05-12 10:38:53 +08:00 via Android
arp -a
可以找到肇事者的 MAC 地址 |
20
Devin 2018-05-12 11:01:36 +08:00 via iPhone
如果是路由器当交换机用,也就是说都接 lan 口,怕是不好办吧,100 多台电脑在下班后粗略看一下有没有接设备花不了多少时间
|
21
snnn 2018-05-12 11:02:26 +08:00
不一定是路由器,很有可能是 vmware 之类的东西。路由器如果口没插错,wan 口不会响应 dhcp 请求的。
慢慢查吧 |
22
s82kd92l 2018-05-12 11:27:10 +08:00
@dndx 我的意思是说 3 层路由器在转发时是用到 asic 来转发 IP 包,同时支持 v4/v6 难度比普通 cpu 路由系统大很多。如果 v6 普及了,原来很多旧的 3 层交换可能就只能当普通交换机用了。
|
23
RHFS 2018-05-12 11:34:20 +08:00 via iPhone
去工位走一圈 直接看谁插了路由器 应该不是故意的 所以不会怎么藏
哈哈最后发现是老板办公室 老板嫌信号不好自己装了一个并且分不清 wan 口 lan 口 |
25
HongHoo 2018-05-12 11:54:19 +08:00
交换机上开启 DHCP SNOOP 功能,连接 DHCP SERVER 的接口配置成信任接口。
这样即使网络中存在其他非法的 DHCP SERVER,也不会影响到现网。 |
26
Humorce 2018-05-12 11:54:53 +08:00 via iPhone
100 多个人,用眼睛看比较快。
|
27
robin001 2018-05-12 12:37:57 +08:00 via iPhone
直接看陌生无线信号最强的地方不是更直接吗
|
28
znnztg 2018-05-12 12:56:48 +08:00
一劳永逸的方法:接入交换机配置 DHCP Snooping
|
29
7654 2018-05-12 13:00:32 +08:00
既然已经被分配了错误的 ip,直接登录该网关 IP,密码一般不会改,默认密码即可,上去关掉 dhcp
即使密码不对,也可以知道型号,这时候行政手段比技术手段有效多了 |
30
abu 2018-05-12 13:13:38 +08:00
办公群里吼一声啊
|
31
likey2018 2018-05-12 13:20:46 +08:00
我这出现过类似情,有人接路由器时把线接到路由器的 LAN 上面了,结果导致电脑大面积出现网络异常( DHCP 分配异常),不要费心去找什么方法了,人不多直接去找找就好
|
32
wekw 2018-05-12 13:58:05 +08:00 3
13 楼的处理方式可以说是很具有中国私企特色了,小老板随意鱼肉员工。
|
33
loser 2018-05-12 15:08:17 +08:00
既然是路由器那就扫一下 80 端口嘛,很快就能筛选出来几个嫌疑 Ip,再看看 22 啊 53 啊什么的
|
34
WordTian 2018-05-12 15:40:12 +08:00 via Android
13 楼的方法,在技术社区用行政手段搞定问题,坐等被喷
|
35
skylancer 2018-05-12 15:51:39 +08:00
回复的某人技术水平也是堪忧
话说行政手段的那位更 6.。。 |
38
Ansen 2018-05-12 16:49:48 +08:00
百多号人,挨着走一圈就能找着了,不要把简单的事情搞复杂了
|
40
bclerdx 2018-05-12 17:04:57 +08:00
LZ,你应该了解一下人家为什么私自接路由器,我想还是人性化一些吧,私接路由器的人肯定是有需求,而公司不满满足他。
|
42
newtype0092 2018-05-12 17:14:53 +08:00
@WordTian 用行政的手段搞定当然没问题啊,群里问一声的事非要费劲调查才是写代码写傻了。
13 楼只是自己的方法又蠢影响又坏,和用不用行政手段没关系。 顺便说一句,如果群里问都没人承认或者知情隐瞒的话,这种公司快散了吧,100 个人还是技术就开始勾心斗角了,能做大就见鬼了。。。 |
43
itzamana 2018-05-12 20:05:48 +08:00
哈哈, 我就知道我写那个会被喷, 不过我还是写了, 目的其实和 32 楼想表达的意思一样. 因为西安有一些公司确实会这样搞...不是指这个事情, 是类似的情况...他们确实会赌你不会去付出那费时费力的维权成本来获得不相称的维权成功的经济收益.
|
44
itzamana 2018-05-12 20:13:57 +08:00
另外告诉 34 楼, V2EX 不是技术社区, 并且"技术"这个词也不止是这些用电的设备才能用, 你的想法太狭义了.
可以参考 /t/11789 |
45
ZXCDFGTYU 2018-05-12 21:25:10 +08:00 1
公司群里发全体消息,或者邮件发送全体说明:
1. 发生了什么事情; 2. 为什么会发生; 3. 结果导致了什么; 4. 造成了多大的后果; 5. 如果需要使用路由器应正确的怎么配置或者可以向公司行政部门申请一个配置好了的路由器; 6. 然后说这次的事情如果自己私下或匿名承认是自己干的并恢复了使用或者自己撤下来设备,可以就此算了,但是如果是被查出来的话不会说不处理相关人员,但是会念在不知道的份上从轻处理,但是如果下次再发生直接从重扣相关人员和对应部门主管的工资和绩效,屡教不改直接通知人事让人当天收包滚蛋。 这样的话,只要把事情说明白了,其实就可以做到大事化小,小事化无了。 |
46
ZXCDFGTYU 2018-05-12 21:26:20 +08:00
有些事情真的不是说写代码就可以解决的,真不要觉得会搞技术的就是万能的了。有的时候利用行政手段远比自己抓包什么的来的快还见效好。
|
47
mandymak 2018-05-12 21:36:04 +08:00
@ZXCDFGTYU 你没遇到过,我可遇到过正是公司负责网烙的 IT 人员私接路由器接错了导致 DHCP 乱发包(别问我怎么查出来是 IT 人员干的好事)。
|
48
ZXCDFGTYU 2018-05-12 21:38:59 +08:00
@mandymak 这就蛋疼了.....如果实在禁不掉这种的话,就在公司内网上发个接路由器的说明文档吧,让他们自己瞎 jb 接还不如告诉那些人正确的接法,省的到时候添乱然后大家还用的都开心 2333
|
50
mandymak 2018-05-12 21:47:35 +08:00
@ZXCDFGTYU 那瞎 JB 是负责公司网络的 IT 人员,私接原因是架 ngrok / frp 客户端+纸飞机去使用公司专线。至于罚我没这个权力,我只负责管理专线,所以我直接封了那 IP 除正常上网外其他所有端口。
|
52
tianyu1234 2018-05-13 00:33:44 +08:00 via iPhone
傻瓜路由器的话,进管理,用默认密码直接关 dhcp,改密码的话查路由器的品牌型号,有些傻瓜路由器可以无密码获取配置文件,然后什么 ssid 都出来了,再找路由器在哪就简单了
|
53
msg7086 2018-05-13 04:08:17 +08:00
我自己就遇到过,公司网络里有一个设备会下发 192.168.1.100 ,百思不得其解,开着 dhcpcd 能看到 DHCP offer 来自同段某个 IP,但是这个 IP 既 ping 不通,也拿不到 MAC 地址(要不然直接查 MAC 就知道是什么设备了)。
最后逐级插拔端口然后用 dhcpcd 测响应,最后定位到第二个办公室里的一台无线 AP。 对你没看错,一台连路由器都不是的 AP。 TP-Link 的低端货,跑久了会随机进入不正常工作模式,然后就会变成一个隐形 DHCP Server。 解决方法很简单,重启 AP 即可。 总结方法:开着 dhcpcd,黑名单掉正常段,只接受错段的 Offer,然后循环运行(比如 watch 命令),逐级插拔网线,当 Offer 消失的时候就知道问题从哪里来了。 |
54
snsd 2018-05-14 08:09:04 +08:00 via iPhone
@snnn 不太理解你说的“ wan 口不会响应 dhcp 请求”,wan 口如果是公司的线接进来,应该是会向上层设备申请一个 ip 的吧?
|
55
Hardrain 2018-05-16 12:19:54 +08:00 1
@snsd A 的 wan 口连上级 router(B)的 LAN
A 的 DHCP 服务器不会向子网 B 广播 故无影响。 问题是如果 A 的 LAN 连 B 的 LAN,两台还都开了 DHCP 服务器 就有问题了。 |
56
marsteel 2018-05-21 16:01:05 +08:00
@s82kd92l 我认为三层交换机转发是基于 mac 地址的,ipv6 并不改动以太网帧的 mac 地址。三层交换机支持 ipv6 是很简单的事情啊,傻瓜交换机都支持 ipv6,三层交换机反而不支持 ipv6 了?
|
57
FlushHip 2020-07-29 11:09:22 +08:00
上几天遇到了这个情况,做法也是找到默认网关,登陆上去,账号密码也没改,admin/admin 。DHCP 一关就好了;
然后想,肯定是哪个二愣子 WAN,LAN 口分不清。结果你猜怎么着,TM 的那个 AP 只有两个口,而且都是 LAN 口,没有 WAN 口。。。 人都直接傻了。 |