1樓:frx2003
這種問題最好有支援dhcp snooping的交換機或者是路由器處理最好
防止DHCP Server仿冒者攻擊
攻擊原理
由於DHCP Server和DHCP Client之間沒有認證機制,所以如果在網路上隨意新增一台DHCP伺服器,它就可以為客戶端分配IP位址以及其他網路引數。如果該DHCP伺服器為使用者分配錯誤的IP位址和其他網路引數,將會對網路造成非常大的危害。
如圖1所示,DHCP Discover報文是以廣播形式傳送,無論是合法的DHCP Server,還是非法的DHCP Server都可以接收到DHCP Client傳送的DHCP Discover報文。
圖1DHCP Client傳送DHCP Discover報文示意圖
如果此時DHCP Server仿冒者回應給DHCP Client仿冒資訊,如錯誤的閘道器位址、錯誤的DNS(Domain Name System)伺服器、錯誤的IP等資訊,如圖2所示。DHCP Client將無法獲取正確的IP位址和相關資訊,導致合法客戶無法正常訪問網路或資訊保安受到嚴重威脅。
圖2DHCP Server仿冒者攻擊示意圖
解決方法
為了防止DHCP Server仿冒者攻擊,可配置裝置介面的「信任(Trusted)/非信任(Untrusted)」工作模式。
將與合法DHCP伺服器直接或間接連線的介面設定為信任介面,其他介面設定為非信任介面。此後,從「非信任(Untrusted)」介面上收到的DHCP回應報文將被直接丟棄,這樣可以有效防止DHCP Server仿冒者的攻擊。如圖3所示。
圖3Trusted/Untrusted工作模式示意圖
2樓:機房網管
你這種情況應該是辦公室比較多的公司吧 。
在受影響的電腦瀏覽器上輸入被分配的閘道器,一般就是那個私接的路由器了。就算不知道密碼也能從登入介面看出是什麼型號的路由器,然後就挨個辦公室找唄
3樓:
我之前在公司接路由器出現過這個問題,我後來把DHCP先關了,要麼自己分在DHCP設定同一網段不同範圍的iP位址,也不會衝突。
題主可以改DHCP分配位址和另乙個同一網段不同範圍的位址。
4樓:yeargenjeilo
從第二DHCP獲取一下上網引數,用arp命令看閘道器的Mac位址,有實體地址了就把那個裝置找出來好了。
其實在網上可以查實體地址的廠商資訊,譬如查到是tplink的實體地址,那就找tplink的小路由挨個拔試試好了。
如果是配置了DHCP服務的計算機或虛擬機器,就比較麻煩點,乙個乙個看Mac應該也不難翻出來。
如果是鏈路層攻擊,惡意刷閘道器引流量進行嗅探,找起來會更麻煩。
也可以一直ping假閘道器,挨個拔網線,發現某個網線拔了就ping不通,那就順著網線找對端裝置,對端是計算機,那就查到頭了。對端是小裝置,那繼續挨個拔那個裝置上的網線接著往下捋,全拔了都不斷,那一定是那台小裝置上開DHCP了。
更專業的辦法(實際上大型網路的網管在用的辦法),你們上聯的交換機支援網管的話,登上去看假閘道器是從哪個物理埠學上來的,那是相當簡單快捷,不過看你問問題的描述方法,等交換機查arp表啥的可能比較困難,還是前面的弄法吧。
上面的辦法都不會弄,那用arp命令靜態繫結正確的閘道器IP和Mac位址對也成,不過移動終端啥的想綁靜態Mac很麻煩,基本上只適用於電腦。每台都得綁,每次重灌都得重綁,麻煩。
5樓:
確切說, 沒有太好的辦法.
我在工作中就出現過這樣的問題.
WiFi路由器R下接了一些裝置, 這些裝置都是從R獲取ip位址(192.168.1.
x /24) , 我為了在本機搭建乙個小的軟路由, 開啟另外乙個dhcp server. 然後問題來了,新接入的裝置, 都從我這裡拿到ip位址. 新裝置都無法上網.
解決辦法, 我本機斷開WiFi, 這樣新裝置就與我不在同一區域網內了. dhcp request自然就只傳送到WiFi路由器R上了
6樓:哲哥科技
1、工作群裡問一下
2、嘗試用預設密碼進他的後台關dhcp服務,然後在工作群裡表明,要另外置路由器需要申請,畢竟一般單位wifi覆蓋不會做的很好,外接個也很正常
7樓:阿卡
pc可以看到偽dhcp伺服器的mac位址。然後在交換機上查該mac位址的介面,從而定位到該偽dhcp伺服器。
可以啟用交換機的dhcp snooping功能,從而防範偽dhcp攻擊
8樓:笨小驢
交換機埠的mac位址繫結,限制外來裝置的接入。
交換機開啟dhcp snooping功能,這個功能會遮蔽不信任的dhcp廣播包。
修改路由器的預設IP位址。現在大部分的路由器預設都是192.168.
1.1或者192.168.
0.1。你要是不修改的話,很容易和私接的路由器IP位址衝突。
建議修改成172.16.0.
1類似的IP段。
配置IP-MAC繫結。在閘道器或者交換機裝置上配置IP-MAC繫結後,私接的裝置一律上不了網。自然就杜絕了私接裝置的想法。
網路有問題時,掃瞄下是否有私接的DHCP服務或者IP衝突等。可以很快捷的定位到問題所在。
頒布行政命令,禁止私接網路裝置,違反者罰款。
WFilter的IP-MAC繫結:
WFilter的各種檢測外掛程式:
DHCP掃瞄
網路健康度檢測,可以檢測IP衝突、ARP欺騙等常見網路問題。
區域網裡有人私接路由器,導致192 168 1 1衝突,所有人都不能上網,怎麼解決?
請問 現在工作的園區也遇到好幾次,有時候衝突一層樓沒網,有時候甚至整棟樓都斷網 說一下我後來的操作,交流一下 1 園區內有線裝置設定靜態IP,並進行ARP唯一繫結 2 總路由上關閉有線網的DHCP功能 3 禁用二級路由,需要用的配置好後新增例外 初期可能略顯繁瑣,但配置好後已經一年沒因為私接路由斷網...
怎麼利用家裡路由器建立區域網
Loading 一般路由器LAN口和wan口顏色不一樣,數量不一樣,LAN口多。把計算機用網線全部接在lan口就OK。如果沒有設定dhcp需要手動分配IP,建立區域網是不需要路由器的,最簡單乙個hub或者交換機就可以 所有裝置連到乙個路由器的最好是乙個ssid就可以。總的來說就是把路由器的 禁止裝置...
家裡裝修,準備埋線搞區域網,千兆路由器能帶滿超七類線的速度嗎?
iblack 萬兆光纖?我覺得超六類就夠了,帶十字骨架的那種,平時幹啥那麼大的頻寬?如果是家用nas,還是萬兆光纖吧,再買乙個萬兆交換機,錢包美滋滋 食鐵獸 0,就目前題主的知識儲備,去關心一下模組上是打了四芯還是八芯,可能更務實一些 1,網線和路由器的速率是乙個單位,不用除以8換算2,從來都是規劃...