DHCP kiralama yenilendikten sonra internet yok

Bugün internet erişimi almayı durduran bir dizi makine vardı. Birçok sorun giderme işleminden sonra, ortak konu, hepsinin dhcp kiralamasını bugün yenilemesidir (8 günlük kiralamalar buradayız).

Kira yenilemesinden sonra beklediğiniz her şey iyi görünüyor: geçerli bir IP adresi, dns sunucusu ve ağ geçidi var. Dahili kaynaklara (dosya paylaşımları, intranet, yazıcılar, vb.) Erişimleri vardır. Biraz daha sorun giderme işlemi, ağ geçidimize ping atama veya izleyemediklerini, ancak ağ geçidinin hemen önündeki çekirdek katman3 anahtarımıza ulaşabildiklerini ortaya koyuyor. Makineye statik bir IP atamak geçici bir çözüm olarak çalışır.

Son bir kırışıklık, şimdiye kadar raporların sadece ağ geçidiyle aynı vlandaki istemciler için geldiğidir. İdari personelimiz ve öğretim üyelerimiz sunucular ve yazıcılarla aynı vlanda, ancak telefonlar, anahtarlık / kameralar, öğrenciler / wifi ve laboratuvarların her birinin kendi vlansları var ve diğer vlanslarda hiçbir şey görmedim henüz bir sorunla karşılaşmadı.

Ben ağ geçidi satıcısı ile ayrı bir bilet var, ama onlar kolay çıkar ve bana sorun ağda başka bir yerde olduğunu söyleyeceklerinden şüpheleniyorum, bu yüzden burada da soruyorum. Ağ geçidindeki ve çekirdek anahtarındaki arp önbelleklerini temizledim. Herhangi bir fikir hoş geldiniz.

Güncelleme:
Ağ geçidinden etkilenen bazı ana bilgisayarlara ping göndermeyi denedim ve garip olan şey, bir yanıt aldım: tamamen farklı bir IP adresinden. Rastgele birkaç tane daha denedim ve sonunda bunu aldım:

Cum Eyl 02 2011 13:08:51 GMT-0500 (Merkezi Yaz Saati)
PING 10.1.1.97 (10.1.1.97) 56 (84) bayt veri.
10.1.1.105'ten 64 bayt: icmp_seq = 1 ttl = 255 zaman = 1.35 ms
10.1.1.97'den 64 bayt: icmp_seq = 1 ttl = 255 zaman = 39,9 ms (DUP!)

10.1.1.97, ping'in gerçek amaçlanan hedefidir. 10.1.1.105'in başka bir binada yazıcı olması gerekiyordu. Daha önce hiç ping yanıtında DUP görmedim.

Benim en iyi tahmin şu anda 10.1.1.0/24 alt ağda kötü bir ağ geçidi ile yurt odalarımızdan birinde hileli bir wifi yönlendirici olduğunu.

...devam etti. Şimdi rahatsız edici yazıcıyı kapattım ve ağ geçidinden etkilenen bir ana bilgisayara ping atmak tamamen başarısız oluyor.

Güncelleme 2:
Etkili bir makinede, ağ geçidinde ve aralarındaki her anahtarda arp tablolarını kontrol ediyorum. Her noktada, bu cihazların girişleri doğruydu. Tablodaki her girişi doğrulamadım, ancak ana bilgisayar ile ağ geçidi arasındaki trafiği etkileyebilecek her giriş iyiydi. Sorun ARP değil.

Güncelleme 3:
İşler şu anda çalışıyor, ancak bunları düzeltmek için yaptığım hiçbir şey göremiyorum ve bu yüzden bunun geçici bir durgunluk olup olmadığı hakkında hiçbir fikrim yok. Her neyse, şimdi teşhis etmek veya sorun gidermek için yapabileceğim pek bir şey yok, ancak tekrar kırılırsa daha fazlasını güncelleyeceğim.

"Şu anda en iyi tahminim 10.1.1.0/24 alt ağındaki yurt odalarımızdan birinde kötü bir ağ geçidine sahip sahtekar bir wifi yönlendirici."

Bu benim ofisimde oldu. Saldırgan cihazın haydut bir android cihaz olduğu ortaya çıktı:

http://code.google.com/p/android/issues/detail?id=11236

Android cihaz, ağ geçidinin IP'sini DHCP üzerinden başka bir ağdan alırsa, ağınıza katılabilir ve ağ geçidi IP'si için ARP isteklerine MAC ile yanıt vermeye başlayabilir. Ortak 10.1.1.0/24 ağını kullanmanız bu dolandırıcılık senaryosunun olasılığını artırır.

Ağdaki etkilenen bir iş istasyonunda ARP önbelleğini kontrol edebildim. Orada, iş istasyonunun doğru MAC ve bazı hileli cihazlardan bir MAC adresi arasında flip-flop yapacağı bir ARP akısı problemi gözlemledim. İş istasyonunun ağ geçidi için sahip olduğu şüpheli MAC'a baktığımda, bir Samsung öneki ile geri geldi. Sorunlu iş istasyonuna sahip olan zeki kullanıcı, ağımızda bir Samsung cihazının kim olduğunu bildiğini yanıtladı. CEO olduğu ortaya çıktı.

Yorum bölümünde zaten tartışıldığı gibi, bir paket yakalama almak gerçekten kritiktir. Ancak arpwatch adı verilen gerçekten harika bir araç da var:

http://ee.lbl.gov/

(veya windows için http://sid.rstack.org/arp-sk/ )

Bu araç, size e-posta gönderecek veya ağda görülen tüm yeni MAC Adreslerinin yanı sıra belirli bir alt ağdaki IP adresleri (flip-floplar) için MAC adreslerindeki değişiklikleri kaydedecektir. Bu sorun için, MAC'leri değiştiren IP'ler için parmak arası terliklerin olduğunu bildirerek ya da ana bilgisayarlarla ilk kez iletişim kurmaya başladığında haydut DHCP yönlendiricisi için yeni bir MAC görürdünüz. Aracın bir tarafı, ana bilgisayarın izlediğiniz tüm ağlara bağlı olması gerektiğidir, ancak bu tür sorunları teşhis etmeye yardımcı olması için sağlayabileceği harika bilgiler için küçük bir fiyattır.

Tipik haydut DHCP sunucularını tespit etmenin hızlı bir yolu, hizmet ettiği ağ geçidine ping atmak ve daha sonra ilgili ARP tablosundaki MAC'sini incelemektir. Anahtarlama altyapısı yönetilen bir altyapı ise, MAC onu barındıran bağlantı noktasına kadar izlenebilir ve bağlantı noktası kapatılabilir veya daha fazla düzeltme için rahatsız edici cihazın konumuna kadar izlenebilir.

DHCP Gözetlemesinin onu destekleyen anahtarlarda kullanılması, bir ağı hileli DHCP sunucularından da korumada etkili bir seçenek olabilir.