Nalezení DHCP serveru který ničí síť

pokus

Nalezení DHCP serveru který ničí síť
« kdy: 05. 08. 2014, 10:28:39 »
Dobrý den,

ve firmě máme síť s cca 100 zařízeními (kabel, wifi), kdy zařízení dostávájí IP adresu z DHCP serveru podle mac adres zařízení. Poslední dobou se uživatelum windows stává, že se nemůžu připojit na internet. Mě ale na linuxu vše funguje bez problémů. Napadlo mě, že windows má nastaven jiný timeout pro požadavek na nocou ipadresu z DHCP serveru. Proto mě napadlo, jestli náhodou někdo nebo něco nemá zapnuté další dhcp, které by přiřadilo jiné ip adresy klientským počítačúm. Moje otázka zní jak toto zjistit? Ikdyž jsem se při onom výpadku snažil dostat novou ipadresu pomocí dhclient tak se mi to nepovedlo. Ideální by bylo sledovat chování na síťi třeba pomocí třeba tcpdump a omezit to jen na ipadresy DHCP. Když na serveru který přiřazuje IPadresy restertuju DHCP server tak vše funguje. Máte s tím prosím nějaké zkušenosti? Případně zkušenosti co může spolehlivě ničit síť?


Dzavy

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #1 kdy: 05. 08. 2014, 10:41:38 »
A co zprovoznit na switchi DHCP snooping a nastavit trusted port jen ten, kde je oficialni DHCP server?

pokus

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #2 kdy: 05. 08. 2014, 11:04:14 »
Nj jenže to bych musel mít administrovatelný switch, což nemám :-/

Kolemjdoucí

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #3 kdy: 05. 08. 2014, 11:15:03 »
Najít duplicitní DHCP server je s Wiresharkem otázka 1 minuty a rovnou se zjistí MAC adresa. Též je přitom možné prověřit, zda stávající DHCP server funguje správně.

j

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #4 kdy: 05. 08. 2014, 11:20:26 »
Nj jenže to bych musel mít administrovatelný switch, což nemám :-/
Coz bys pri 100 zarizenich v siti rozhodne mit mel, a nejen kvuli dhcp. Jinak viz vejs, ovsem najit to fyzicky = obejit a prosacovat celou firmu, protoze nezjistis na kterym portu je to pripojeny.


Fantomas

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #5 kdy: 05. 08. 2014, 12:03:44 »
Nejakej zmetek zapojil zarizeni, ktere nema ve firme co delat nebo na nejakem routeru prehodil zapojeni. Pokud ti v praci projde nekolika sekundove vypnuti site, tak staci zjistit ip a pri pingu vypinej na par sekund jednotlive casti site, tak se dostanes ke konkretnimu switchi a na nem pak budes odpojovat jednotlive porty. Neni to sice vubec idealni ale stoprocentne ucinne. Pokud tohle nemuzes, tak si vypni firemni dhcp server a na svem kompu musis dostat ip od toho zmetka, tim zjistis jeho ip a zkus se na nej napojit pres http, mozna pujde deaktivovat.

Dzavy

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #6 kdy: 05. 08. 2014, 12:43:16 »
Nejakej zmetek zapojil zarizeni, ktere nema ve firme co delat nebo na nejakem routeru prehodil zapojeni. Pokud ti v praci projde nekolika sekundove vypnuti site, tak staci zjistit ip a pri pingu vypinej na par sekund jednotlive casti site, tak se dostanes ke konkretnimu switchi a na nem pak budes odpojovat jednotlive porty. Neni to sice vubec idealni ale stoprocentne ucinne. Pokud tohle nemuzes, tak si vypni firemni dhcp server a na svem kompu musis dostat ip od toho zmetka, tim zjistis jeho ip a zkus se na nej napojit pres http, mozna pujde deaktivovat.
Cas a oser stravenej timhle podle me v pohode zaplati nakup poradnych switchu :)

brk

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #7 kdy: 06. 08. 2014, 08:30:47 »
On hlavně neví, jestli tam ten další DHCP server má. Z toho co je napsáno, jsem akorát pochopil, že se mu to chová divně a občas něco nedostane adresu. Stejnou paseku mi to kdysi dělalo, jak jeden switch odcházel. Všechno fungovalo víceméně normálně, jen občas nějaké zařízení nedostalo adresu.

udiv

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #8 kdy: 06. 08. 2014, 08:36:20 »
To je az neskutecna prasarna. Jako firma s cca 100pc teda cca 100 zamestnanci nema na management switche kdyz jeden 24p (combo sfp) se da poridit jiz od 8t? Jako takovou sit provozovat jen tak na obyc switchich!? Chtel bych byt u vas na siti a pustit vam tam nejakyho "previta" to by byla sranda. Protoze zadna separace provozu vlany proste nic se sto pc - no proste mazeec. Skutecne me to po ranu sokovalo!

udiv

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #9 kdy: 06. 08. 2014, 08:44:59 »
On hlavně neví, jestli tam ten další DHCP server má. Z toho co je napsáno, jsem akorát pochopil, že se mu to chová divně a občas něco nedostane adresu. Stejnou paseku mi to kdysi dělalo, jak jeden switch odcházel. Všechno fungovalo víceméně normálně, jen občas nějaké zařízení nedostalo adresu.

Toto chovani muze byt zpusobeno cimkoliv, ale samotna lokalizace bez vlanu, dhcp snoopingu, ip source guardu je temer nadlidsky vykon. Kdyz budeme predpokladat 8-16p obyc switch na 100pc, tak to je obejit minimalne 6-12 switchu. U vsech zkontrolovat porty a trafa. A to jeste nikdo nevime jak ma postaven dhcp server, jestli neni problem v nem. Napr errory na rozhrani, dump dhcp requestu atp. Proste tazateli neco nejde sam nevi co. Nedostane ip cko a jelikoz se o tuto cinnost stara dhcp server tak usoudil - je to dhcp server!

FrantaA

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #10 kdy: 06. 08. 2014, 11:45:04 »
On hlavně neví, jestli tam ten další DHCP server má. Z toho co je napsáno, jsem akorát pochopil, že se mu to chová divně a občas

Toto chovani muze byt zpusobeno cimkoliv, ale samotna lokalizace bez vlanu, dhcp snoopingu, ip source guardu je temer nadlidsky vykon. Kdyz budeme predpokladat 8-16p obyc switch na 100pc, tak to je obejit minimalne 6-12 switchu. U vsech zkontrolovat porty

Co je to proti hledani problemu na koaxialnich rozvodech, zvlaste kdyz jedinym hardwarovym testerem byl Avomet  :-). Zakladni metodou bylo postupne puleni segmentu, coz ovsem vyzadovalo lezení po vselijakych zakoutich, vraceni se atd.; a to ty rozvody byly na EAD zasuvkach.
V danem pripadne se da postupovat podobně, ale opravdu by to chtelo (v prvni fazi aspon jeden) poradny switch - coz si takhle  od kamose nejaky vypujcit :-)? Jinak bych tipnul bud na zavadu, nedetekovanou duplicitu IP adres nebo falesny DHCP server (treba o tom jeho vlastnik ani nevi - to si jeden chtel protahnout Ethernet do vzduchu, k cemuz pouzil bezny domaci wifi router v roli bridge/AP, tj. pripojil Ethernet do jeho "vnitrni" site; nic proti tomu, jenomze on zapomnel vypnout DHCP server a bylo to).

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #11 kdy: 06. 08. 2014, 12:38:39 »
Jeste dalsi vec - kdyz ctu, ze mas tolik PC a bez managementu, nezapomen na limit poctu switchu za sebou, pokud to mas stylem mistnost se switchem, pak do dalsi mistnosti se switchem, ...
Ale je pravda, ze pokud vypnes dhcp server a nekdo ma jiny, tak ty se chytnes i na ten jinej nebo ti to system pise, z jakeho dhpc serveru si vzal IP (u widli "ipconfig /all"). Pripadne si pust wireshark a odpozoruj si par packetu, at uz vidis co se deje...

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Nalezení DHCP serveru který ničí síť
« Odpověď #12 kdy: 06. 08. 2014, 12:43:01 »
Mozna byste mel zacit tim, ze odchytite nejakeho toho widlackeho klienta, ktery se nemuze dostat na Internet a podivate se, jakou ma pridelenou adresu a jakou ma nastavenou gateway a DNS server. Jestli si tam treba nejaky pytlik pripojil nejaky router nebo ADSL modem, aby si vyrobil soukrome wifi nebo neco a nevypl na tom DHCP server, tak vam default gateway a asi i DNS reknou rovnou, jakou ma to zarizeni ip adresu. Pokud ne, tak aspon muzete zkouknot, jestli nastaveni vypada normalne, jako by ho nastavil vas DHCP server nebo ne. Tedy napriklad jestli je adresa z vaseho DHCP poolu, jestli je spravny DNS server....

pokus

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #13 kdy: 06. 08. 2014, 14:07:54 »
To je celkem problém.... Když odchytnu někoho komu net nechodí a podívám se na jeho ip adresu a bránu přes kterou je připojen tak je vše ok.Když z toho pc dám ping brány tak v pohodě pingám ale když chci pingnout ven třeba seznam tak to nefičí... Sranda je že toto se děje jen na windows já na Linuxu ve stejné síti fičím bez problému a lezu na stránky kde jsem v životě nebyl a funguje to.... Když restartnu dhcp server tak to začně chodit i windows uživatelům proto mě to dohlalo na myšlenku duálního dhcp.... JAký je limit switchů za sebou? Pravda že jich pár za sebou máme ale nebude to moc.... Každopádně dnes mám přichystaný dhcpdump a monitoruju chování dhcp v síti jenže jak na potvoru dnes všem funguje internet jak má :-/

samalama

Re:Nalezení DHCP serveru který ničí síť
« Odpověď #14 kdy: 06. 08. 2014, 14:26:09 »
a nemoze byt problem niekde uplne inde? napr. router ma uz plnu tabulku spojeni a pod.

btw, nic v zlom, ale ako admin 100+ pc by si mal vsetko, co sa tu spominalo uz davno ovladat, a aj ako prve urobit...