Dzisiaj mieliśmy wiele maszyn, które przestały uzyskiwać dostęp do Internetu. Po wielu problemach, wspólnym tematem jest to, że wszyscy mieli dzisiaj przedłużoną dzierżawę dhcp (jesteśmy tutaj na 8-dniowe dzierżawy).
Wszystko, czego można oczekiwać, wygląda dobrze po odnowieniu dzierżawy: mają prawidłowy adres IP, serwer dns i bramę. Mają dostęp do zasobów wewnętrznych (udziałów plików, intranetu, drukarek itp.). Nieco więcej problemów z rozwiązywaniem problemów ujawnia, że nie są w stanie pingować ani śledzić naszej bramy, ale mogą dostać się do naszego przełącznika warstwy podstawowej 3 przed bramą. Przypisanie statycznego adresu IP do maszyny działa jako rozwiązanie tymczasowe.
Ostatnie pomarszczenie polega na tym, że jak dotąd raporty pojawiły się tylko dla klientów na tym samym vlan co brama. Nasi pracownicy administracyjni i wykładowcy są na tym samym vlan co serwery i drukarki, ale telefony, piloty / aparaty fotograficzne, studenci / wifi i laboratoria mają swoje własne vlany i, o ile nie widziałem nic na żadnym innym vlanie miał jeszcze problem.
Mam osobny bilet u dostawcy bramy, ale podejrzewam, że wyciągną łatwość i powiedzą mi, że problem występuje gdzie indziej w sieci, więc tutaj też pytam. Wyczyściłem pamięć podręczną arp na bramie i przełączniku rdzenia. Wszelkie pomysły są mile widziane.
Aktualizacja:
Próbowałem pingować z bramy z powrotem na niektóre hosty, których dotyczy problem, i dziwne jest to, że otrzymałem odpowiedź: z zupełnie innego adresu IP. Próbowałem jeszcze kilka losowo i ostatecznie otrzymałem to:
Pt 02 września 2011 13:08:51 GMT-0500 (Centralny czas letni) PING 10.1.1.97 (10.1.1.97) 56 (84) bajtów danych. 64 bajty od 10.1.1.105: icmp_seq = 1 ttl = 255 czas = 1,35 ms 64 bajty od 10.1.1.97: icmp_seq = 1 ttl = 255 czas = 39,9 ms (DUP!)
10.1.1.97 to rzeczywisty zamierzony cel polecenia ping. 10.1.1.105 ma być drukarką w innym budynku. Nigdy wcześniej nie widziałem DUP w odpowiedzi ping.
W tej chwili przypuszczam, że nieuczciwy router Wi-Fi w jednym z naszych pokoi w akademiku w podsieci 10.1.1.0/24 ze złą bramą.
...nieprzerwany. Teraz wyłączyłem szkodliwą drukarkę, a pingowanie do zainfekowanego hosta z bramy po prostu całkowicie zawodzi.
Aktualizacja 2:
Sprawdzam tabele arp na maszynie, bramie i każdym przełączniku między nimi. W każdym punkcie wpisy dla tych urządzeń były prawidłowe. Nie zweryfikowałem każdego wpisu w tabeli, ale każdy wpis, który mógł wpłynąć na ruch między hostem a bramą, był w porządku. ARP nie stanowi problemu.
Aktualizacja 3:
W tej chwili wszystko działa, ale nie widzę nic, co zrobiłem, aby je naprawić, więc nie mam pojęcia, czy może to być chwilowa przerwa. W każdym razie niewiele mogę teraz zrobić, aby zdiagnozować lub rozwiązać problem, ale zaktualizuję więcej, jeśli znowu się zepsuje.
źródło
Odpowiedzi:
„Moim najlepszym przypuszczeniem jest nieuczciwy router Wi-Fi w jednym z naszych pokoi w akademiku w podsieci 10.1.1.0/24 ze złą bramą”.
Stało się to w moim biurze. Obraźliwe urządzenie okazało się nieuczciwym urządzeniem z Androidem:
http://code.google.com/p/android/issues/detail?id=11236
Jeśli urządzenie z systemem Android pobiera adres IP bramy z innej sieci za pośrednictwem DHCP, może dołączyć do sieci i zacząć odpowiadać na żądania ARP dotyczące adresu IP bramy za pomocą swojego adresu MAC. Korzystanie ze wspólnej sieci 10.1.1.0/24 zwiększa prawdopodobieństwo tego nieuczciwego scenariusza.
Byłem w stanie sprawdzić pamięć podręczną ARP na zaatakowanej stacji roboczej w sieci. Tam zauważyłem problem z przepływnością ARP, w którym stacja robocza przerzucała między poprawnym MAC a adresem MAC z jakiegoś nieuczciwego urządzenia. Kiedy spojrzałem na podejrzany MAC, który stacja robocza miała dla bramy, wróciła z prefiksem Samsunga. Bystry użytkownik z problematyczną stacją roboczą odpowiedział, że wie, kto ma urządzenie Samsung w naszej sieci. Okazał się CEO.
źródło
Jak już wspomniano w sekcji komentarzy, uzyskanie przechwytywania pakietów jest bardzo ważne. Istnieje jednak naprawdę świetne narzędzie o nazwie arpwatch:
http://ee.lbl.gov/
(lub http://sid.rstack.org/arp-sk/ dla Windows)
To narzędzie wyśle Ci wiadomość e-mail lub po prostu rejestruje wszystkie nowe adresy MAC widoczne w sieci, a także wszelkie zmiany adresów MAC dla adresów IP w danej podsieci (przerzutniki). W przypadku tego problemu wykryłbyś obie bieżące teorie, zgłaszając albo, że działały przerzutniki dla adresów IP zmieniających adresy MAC, lub zobaczyłeś nowy adres MAC dla nieuczciwego routera DHCP, gdy po raz pierwszy zaczął komunikować się z hostami. Jedyną wadą tego narzędzia jest to, że musisz mieć hosta podłączonego do wszystkich monitorowanych sieci, ale jest to niewielka cena za wspaniałe informacje, które może dostarczyć, aby pomóc zdiagnozować tego rodzaju problemy.
źródło
Szybkim sposobem na wykrycie typowych nieuczciwych serwerów DHCP jest pingowanie bramy, którą obsługuje, a następnie sprawdzenie jej adresu MAC w odpowiedniej tabeli ARP. Jeśli infrastruktura przełączająca jest zarządzana, MAC można również wyśledzić do portu, na którym jest hostowany, a port można albo zamknąć, albo prześledzić z powrotem do lokalizacji urządzenia naruszającego prawo w celu dalszego zadośćuczynienia.
Zastosowanie DHCP Snooping na przełącznikach, które go obsługują, może być również skuteczną opcją w ochronie sieci przed nieuczciwymi serwerami DHCP.
źródło