本帖最后由 okpan 于 2012-3-6 09:02 编辑
cracks 发表于 2012-3-5 22:13 static/image/common/back.gif
人手一台soho小小路由器.全来个开启dhcp server.我看你杂办.搞死你了.你慢慢收信息吧..所以企业还是用 ...
人手一台soho小小路由器.开启dhcp server(默认一般都是开启的),只有将进线错插到LAN口才会有影响,故意搞破坏的还是很少。毕竟大家都在一个局域网,互相都认识,你说的这种极端很少的,至少我没有遇上。
本帖最后由 okpan 于 2012-3-6 09:03 编辑
wwwbj 发表于 2012-3-5 22:17 static/image/common/back.gif
如果人家不上网,,就DHCP,搞你。。你怎么办呢。。只得个非法的MAC 和IP 。。SB交换机,怎么知道呢。
如果遇上没有登记的,比如新买来的,只知道MAC和IP找不到主人,只有一个办法,拔网线,让他来找你。
关键是 gj交换机上接了个sb8口交换机
铜币不够,不过我来说说我的看法,不知是否和楼主一样。
要找出提供非法dhcp服务的主机很容易,开启抓包软件,设定成只抓取dhcp数据包,开始抓取,然后抓包的网卡设置成自动获取地址,如果你的抓包软件支持实时解包,立刻就能看见dhcp 请求和响应包,合法的非法的都有哦。
怎样找到非法dhcp server?
根据获取的mac地址和ip地址,参考你平时整理的网络资料,可以定位非法dhcp server。下面就简单了,电话过去,威胁断网,或者直接咔嚓,等他找你。
============================
怎样彻底根治呢?
dhcp的原理就是用户主机发起请求,服务器给予相应。
思路:阻断非法的dhcp相应包。
做法:开启dhcp 侦测,用户接入的交换机开启端口隔离。
本帖最后由 okpan 于 2012-5-10 11:18 编辑
ROS自带功能,只需在开启的DHCP服务网卡的MAC地址添加到Alert中,一旦局域网出现第二个DHCP,就会在log中显示并短信通知,是全天候主动式的,不用被动去开启抓包软件去找。找到后的处理方式相同。彻底根治要交换机支持。
okpan 发表于 2012-5-10 11:18 static/image/common/back.gif
ROS自带功能,只需在开启的DHCP服务网卡的MAC地址添加到Alert中,一旦局域网出现第二个DHCP,就会在log中显 ...
请教下,您说的短信通知是用的哪种短信平台呢?
我的solarwinds一直没找到合适的免费短信平台使用。
短信只是邮件达到通知,内容不多全部转发。我用的是移动免费手机邮箱,邮件到达通知也是免费的。QQ也有邮件到达通知功能,只不过我没有用过。
还是PPPOE好点
留个脚印.......很有用
铜板不够了看不到
谢谢分享你的经验:)
记得交换机一般都有dhcp snooping,就是强制在VLAN或端口开启dhcp监听特性,可以预防和解决dhcp冲突。:)
想法不错 学习下
这个只要抓包分析一下立马就知道,不用那么麻烦
全部都不行。。郁闷~!