背景:我是一个相对较大的大学的系统pipe理员(约15,000个用户在住宅区/ ResNet)。 当我的小组负责pipe理ResNet空间(authentication,DHCP等)时,实际的networking设备由另一个部门拥有和运行。 大多数宿舍build筑物都在自己的路由器上,并且通过策略, VLAN不能跨越路由器 。
我们遇到了一些奇怪的DHCP问题,很可能与运行DHCP服务器的病毒有关。 我们的DHCP故障切换计划是基于我们的DHCP服务器不是权威的,所以当一个有DHCP服务器(病毒)的盒子在networking上popup时,每个人都开始接受它的提供,而不是实际的DHCP盒子。
故障排除非常复杂,因为我们在子网或VLAN中没有任何设备,所以识别受感染用户的唯一方法是物理驱动到站点,挂接到端口,然后运行一个stream量捕获(然后将一个MAC与一个交换机端口相关联,并closures该端口)。
因此,我的想法是在有问题的networking上安装一些stream量监听器/探测器(在受影响的networking中有一个接口,在已知的好子网中有一个接口,以便与我们联系)。
我有两个理论如何做到这一点:
任何替代理论? 有没有人必须处理这样的问题(具体来说,捕获networking上的stream量,你可以得到一个路线,但实际上不能跳上去)。 不幸的是,这需要一个零预算的解决scheme(尽pipe我有几个Soekris板,每个都有三个接口)。
谢谢,杰森
你能不能只使用静态IP在networking上安装一台机器? 你说你在控制DHCP,所以只保留该机器的特定IP。 只要没有其他人接收,就不需要从DHCP服务器获取地址。 当然,你仍然有可能使DHCP服务器伪造这个地址。
您还可以logging所有来自非官方DHCP服务器的DHCP提供和确认数据包。 如果你有访问交换机的权限(你说你不拥有它们,但是你确实说你可以“closures这个端口”),你甚至可以自动禁止这个端口。
感谢大家的意见。 我结束了在Soekris盒子上安装Debian。 它通过一个已知好的子网获得eth0的DHCP,然后用它的“IP”回家。 这个想法是将其他两个接口插入坏的子网,然后SSH进入有tcpdump,dhclient,nmap等的盒子。
如果有人在档案中发现这个问题,我已经在http://lunchbox.jasonantman.com/上设置了一个小的项目页面,里面有关于如何构build它的信息,以及文件系统tarball和一个1GB的CF卡映像,可以使用一个Soekris net4801(或者可能是net4501)。