我负责宿舍里的一个本地networking,我们有两个50路交换机,并用它们连接到一些不是由我pipe理的远程路由器(它不在我的build筑物内)。 注:这是一个遗留的设置,我没有决定如何把它放在一起。 所以,通常有人连接他的comp,并从该路由器使用DHCP获取IP地址。
然而,最近连接电脑的人不能连接到networking,并从不同的路由器获得他们的IP。 这怎么可能? 有人只是将自己的路由器连接到networking并窃取DHCP请求? 如果是这样,我怎么find罪魁祸首?
谢谢。
如果你有一个苹果方便,做一个Tcp转储:
tcpdump -ni en0 然后插入以太网端口:查找DHCP回复:
15:40:23.226008 IP 10.0.150.150.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
假设错误的DHCP服务器已经响应,你现在有它的IP:10.0.150.150
接下来你需要DHCP服务器的mac地址:
arp -an | grep 10.0.150.150
会给你的DHCP路由器的MAC地址
? (10.0.150.150) at c0:9c:33:b1:b3:a1 on en0 ifscope [ethernet]
假设你有pipe理交换机,你可以login和转储mac到端口的映射。只需拔掉违规者,等到有人来告诉你他们已经closures了。
如果你的交换机pipe理不当,值得升级,但如果这不是一个选项,只需从前面的步骤ping IP:
ping 10.0.150.150
拉线,直到停止。
您可以使用其他人提到的技术来追踪用户,但如果您能够防止这种情况再次发生,那就更好了。
例如,在Cisco交换基础设施上,您应该可以使用DHCP监听来防止将来发生这种情况。 其他交换机品牌可能有类似的function。
networking上物理连接的普通用户可以使用(例如)Windows Server 2008在他的笔记本电脑上的VmWare机器上设置DHCP服务器,并窃取其他客户机的DHCP请求。
如果是这种情况,请在ipv4属性中将备用DNS IP地址更改为真实的DNS服务器。
很有可能有人把他们的路由器从家里拿走,把错误的端口连接到交换机上。 大多数家庭路由器提供DHCP,并将愉快地发出错误的地址范围。 从我所看到的情况来看,这在宿舍里是相当普遍的。
尝试发布一条通知,指出任何拥有自己的路由器的人只应将WAN端口连接到您的networking。
上述步骤将帮助您find他们正在使用的IP地址。 路由器上的红绿灯也可能有助于视觉指示。 如果您没有掌握所有电线的位置,则可能难以追踪。 如果您可以连接具有路由器的端口或端口,请考虑在交换机上断开连接。
我猜测宿舍里有人连接了SOHO路由器,而不是他们的电脑,可能是因为他们可以无线访问。 你可以做的是一系列隔离问题的步骤。
一种方法是让你的笔记本电脑,并在宿舍做一些“战争驾驶”。 换句话说,漫游四处寻找来自stream氓路由器的强大的无线networking信号。 这会让你接近它,因为你看着不同的优势。
另一种方法是:
去一台有这个stream氓路由器作为它的DHCP主机的计算机,记下路由器的IP和MAC地址。 你可以从“ipconfig / all”命令中得到这个。
使用交换机上的pipe理访问来找出IP或MAC地址使用的端口。 换句话说,看看交换机上的表格,即通过哪个端口映射哪台机器。
现在,您可以将该端口跟踪到宿舍,或者从交换机上移除宿舍。 希望你有哪些端口去哪个宿舍的文档。
如果这些工作都不起作用,那么您将需要通过从交换机一次物理地连接一根导线来进行search,直到问题消失。
顺便说一下,如果政府和IT部门做得不错,那么学生们就签署了一些协议,禁止他们这样做。 所以你可以带上学生院长(不pipe他在校园里叫什么)。