作者celicx (酒喵书烟)
看板NetSecurity
标题Re: [请益] 学校内部有人ip分享器插错,造成另一台 …
时间Wed Sep 9 12:21:41 2009
※ 引述《virtuemood (小毛)》之铭言:
: ※ 引述《BeLOveRX (上站次数破万Orz)》之铭言:
: : 取得 192.168.0.x 的人
: : 可以 ping 192.168.0.1 这个 IP (原则上就是 IP分享器的Lan IP)
: : 然後在 win or linux 底下 用 arp -a / arpwatch 去看 192.168.0.1的IP是多少
: : 然後去有网管功能的 switch 去找看在哪个 interface上面就好了
: : 这个问题很常发生 ... 0.0
: : 我常常在我们系上抓这种老是接错的人 ~_~
: 不一定是接错啊
: 有可能有人架了一个假的dhcp server做中介人攻击
如果L2 Switch是 Cisco的设备
建议打开 DHCP Spoofing,并且指定DHCP Relay Server
这样就可以有效防止私架dhcp或是有人挂ip sharing device的问题
Cisco的DHCP Spoofing function可以filter dhcp discovery的packet
另外172.16.0.0/20 这样的分割会不会太大 @_@
这样的一组subnet有4094个ip可以用....
如果发生broadcast storm或是worm...感觉上会灾情惨重....
而且debug时真的很不好找唷...(我自己有惨痛经验~"~)
--
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 210.69.153.120
1F:→ celicx:补充说明...要抓DHCP最快的方式是用wireshark/sniffer去抓 09/09 12:23
2F:→ celicx:封包!每个switch上接个10秒就能知道封包是不是同一段出来 09/09 12:23
3F:→ hunt0510:DHCP Snooping.....(小声) 09/09 16:32
4F:推 virtuemood:原来还有这种功能。太夸张了。 09/09 16:44
5F:→ celicx:三楼...谢谢^^ 09/10 09:08
6F:推 palermo:很多厂商都有DHCP snooping 喔,不限定只有cisco 才有 07/02 11:00