作者celicx (酒喵書煙)
看板NetSecurity
標題Re: [請益] 學校內部有人ip分享器插錯,造成另一台 …
時間Wed Sep 9 12:21:41 2009
※ 引述《virtuemood (小毛)》之銘言:
: ※ 引述《BeLOveRX (上站次數破萬Orz)》之銘言:
: : 取得 192.168.0.x 的人
: : 可以 ping 192.168.0.1 這個 IP (原則上就是 IP分享器的Lan IP)
: : 然後在 win or linux 底下 用 arp -a / arpwatch 去看 192.168.0.1的IP是多少
: : 然後去有網管功能的 switch 去找看在哪個 interface上面就好了
: : 這個問題很常發生 ... 0.0
: : 我常常在我們系上抓這種老是接錯的人 ~_~
: 不一定是接錯啊
: 有可能有人架了一個假的dhcp server做中介人攻擊
如果L2 Switch是 Cisco的設備
建議打開 DHCP Spoofing,並且指定DHCP Relay Server
這樣就可以有效防止私架dhcp或是有人掛ip sharing device的問題
Cisco的DHCP Spoofing function可以filter dhcp discovery的packet
另外172.16.0.0/20 這樣的分割會不會太大 @_@
這樣的一組subnet有4094個ip可以用....
如果發生broadcast storm或是worm...感覺上會災情慘重....
而且debug時真的很不好找唷...(我自己有慘痛經驗~"~)
--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.69.153.120
1F:→ celicx:補充說明...要抓DHCP最快的方式是用wireshark/sniffer去抓 09/09 12:23
2F:→ celicx:封包!每個switch上接個10秒就能知道封包是不是同一段出來 09/09 12:23
3F:→ hunt0510:DHCP Snooping.....(小聲) 09/09 16:32
4F:推 virtuemood:原來還有這種功能。太誇張了。 09/09 16:44
5F:→ celicx:三樓...謝謝^^ 09/10 09:08
6F:推 palermo:很多廠商都有DHCP snooping 喔,不限定只有cisco 才有 07/02 11:00