Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

DHCP i zdublowane numery IP

31 Sty 2007 11:11 4615 16
  • Poziom 15  
    Sieć wygląda następująco:
    - router ze switchem i modemem pod NEO,
    - 2 x AP: jeden ustawiony jako reapeter.

    Router ma włączony DHCP. Na żadnym z APeków nie jest włączone DHCP.
    Na APekach jest filtracja po MACach.

    Problem jest taki, że w sieci pojawiają się zdublowane numery IP. Co ciekawe numery bywają przydzielane z poza puli numerów dostępnych. Np. pula adresów ma końcówkę 100-150, a np. DHCP przydziela numery z końcówką od 5 wzwyż, przydzielając przy tym np. dwum komputerom te same numery.

    Spotkał się ktoś z Was z podobnym problemem?
  • VIP Zasłużony dla elektroda
    Pytanie czy aby napewno te adresy sa przydzielane przez DHCP czy moze wpisane z palca. Druga sprawa czy te AP przepuszczaja MAC kart do routera.
  • Poziom 15  
    Adresy są napewno przydzielane z DHCP - tymczasowo ratuję się przydzielając stałe IP, ale pule adresów mam tak rozplanowane, że nie ma prawa dojść do konfliktów.

    AP to EDIMAX 802.11G numery MAC muszą przepuszczać, bo na routerze widzę jakim MACom przypisało jaki IP.

    Tyle, że widzę, że np. przy puli adresów 192.168.0.11 - 192.168.0.30 przypisuje z DHCP numer 192.168.0.5 - i tu jest problem...
  • VIP Zasłużony dla elektroda
    To sprawdz co to jest na tym 192.168.0.5, programik lookatlan moze sporo pokazac, moze ktos sie wpiaj z boku z AP i sobie kradnie necik i ma odpalony wlasnie dhcp
  • Poziom 15  
    Jak będę w zasięgu sieci to ją przetestuję pod tym kątem.

    Ale w czym rzecz:
    Konflikty potrafią się pokazywać na komputerach w wewnątrz sieci np.

    Do switcha jest podłączony komputer (którego MAC nie jest wprowadzony do AP, bo sygnał idzie w 100% po kablu) i komputer ten wchodzi w konflikty z jednym z laptopów pracujących w sieci.
    Wyłączenie jednego z komputerów powoduje ustąpnienie generowania konfliktów.
  • VIP Zasłużony dla elektroda
    Inerfejsy w kompach moga posiadac kilka adresow IP pod tym wzgledem tez trzeba sprawdzic ten komp, bo jedno moze dostawac od DHCp a drugi adres moze miec wpisane na stale i niby go nie widac, ale na spokojnie sprawdzisz co i jak skad kto i co dostaje.
  • Poziom 15  
    I tu się zgadzam uroki XP - o tym nie pomyślałem.

    Ale w momencie pojawienia się konfliktów na stałe zacząłem przypisywać numery IP, tak więc na każdym komputerze, na którym robiłem taki zabieg na pewno jest wyłączone DHCP, czytaj - mniej ognisk zapalnych. Komputery na których pojawiają się konflikty nie miały nigdy na tym interfejsie przypisanego stałego IP...

    Nic - napiszę więcej jak przeskanuję sieć - aczkolwiek patrząc na zużycie limitu to zbytnio nikt się nie podpina...
  • Poziom 15  
    Skanowałem kilka razy sieć i nic złego nie wykryłem. Zresztą moim zdaniem ten test nie jest miarodajny, gdyż wystarczy sobie jakiegoś firewalla zamontować i już nie widać komputera...
  • Poziom 21  
    Ja bym odpalil jakis sniffer (oczywiscie potrafiacy dzialac na switchu) i sprobowal znalezc moment, w ktorym dochodzi do konfliktu, skad konkretnie pobierane jest dhcp. Mozesz zostawic snifferka na jakis czas, dopoki nie zostanie zgloszona kolejna awaria i wtedy probowac cos robic. Ostateczna mozliwoscia jest zle skonfigurowany router (moze pomoze zmiana czasu dzierzawy, sprobowalbym skrajnosci, albo zmiana zakresow, a moze upgrade firmware).
  • Poziom 15  
    Firmware jest najnowszy. Dzierżawę IP w chwili zaczęcia się problemów zmniejszyłem z 24h do 6h, ale mam wrażenie, że to nie router rozdaje numery.

    Ewentualnie zastanawiam się czy czasami nie postawić dwóch serwerów DHCP na APkach (oczywiście z innymi pulami numerów) i wyłączyć DHCP w routerze...

    Na razie nie mam zgłoszeń, że coś się dzieje, ale to pewnie tylko przez to, że numery powpisywane są mniej-więcej na stałe...
  • Poziom 21  
    Ja bym sprobowal powrocic do DHCP i snifferek, nawet przez dzien, dwa. Bo gdyby to bylo u mnie, podejrzewalbym jakiegos dowcipnisia stawiajacego sobie DHCP i zbierajacego zapytania od innych. A co do dlugosci dzierzaw probowalbym skrajnosci, od wielu dni do 1sek.
  • Poziom 15  
    Dzisiaj byłem i na dzień dobry zdublowany MAC i to mój w laptopie :) Gostek szybko się spłoszył, ale log na moim firewallu pozostał :) Na początku wyleciał mi duplikat MAC a IP ustawiło mi na 169.254.107.23, po czym po chwili przyznane zostało 192.168.0.12.

    Fakt dziwnego przydzielania mi numerów IP może wynikać z faktu, że u siebie mam taki sam router i jakoś z dzierżawą adresów wychodzi tak, że komputer ciągle mój "domowy" adres pamięta... [edit: chodzi mi o to, że u mnie IPki rozdaje router od końcówki 10, a u gostka aktualnie od końcówki 100]

    Ale wracając do sedna. Zastanawiam się jak gostka wykurzyć, nie robiąc problemów użytkownikom.

    Zastanawiam się czy szyfrowanie połączeń coś by zmieniło...
  • Poziom 21  
    Ja bym sprobowal jakos namierzyc kto to taki. Sniffer powinien podac adres MAC tego drugiego serwera DHCP, jesli tylko ktos pobierze od niego IP. Wtedy sprobowac sprawdzic, czy nie istnieje w naszej bazie ARP taki komputer i wiadomo wtedy o kogo chodzi. W przeciwnym razie (gdyby DHCP robil ktos obcy, na przyklad po WiFi, lub gdyby ktos sobie sprzetowy router postawil) moze sie nie udac wysledzenie, jedynie jakis zarzadzalny switch by pomogl (przydzielenie 1 port 1 IP konkretne i z glowy, ale to droga zabawka).
  • Poziom 15  
    Sieć po Lanie jest szczelna (bo w sumie dużo jej nie ma) i za nią ręczę w 100%.

    To coś postawione jest na wifi. Jedyny plus całego zajścia to taki, że gostek po za tym DHCP nie jest jakiś nachalny i z p2p nic nie ściąga...

    A tak pozostaje bezsilność :/ Przynajmniej na razie
  • Pomocny post
    Poziom 21  
    Ciezko bedzie goscia zlapac, trzeba teraz poszukac zdublowanych MAC (sniff i patrzymy, ktory MAC prowadzi 2 sesje gg itp. podejrzane zachowania, WLAN nie rozroznia 2 klientow z tym samym MAC uznajac ich za 1 i przekazujac pakiety tak samo). Jak znamy MAC patrzymy, gdzie legalny klient z takim MAC mieszka i zaczynamy zabawe w wardriving, probujac namierzyc (chyba jedynie za pomoca jakiejs karty przelaczonej w tryb AP i nadajacej ssid takie samo, jak tamten (a tamtego chwilowo wylaczyc) i poszukac najlepszego sygnalu o takim MAC, pewnie pomoze nam jakas wystajaca antena i juz wiadomo. Wtedy grzecznie prosimy delikwenta osobiscie o odwalenie sie. Brak poczucia anonimowosci moze zdzialac cuda.

    Oczywiscie nie testowalem takiego sposobu szukania, ale wydaje mi sie ze moze to zadzialac.
  • Poziom 15  
    W sumie nie głupi pomysł
    MACi wszstkie znam - dużo ich niema - sieć ma taki charakter, że będzie od razu widać podszywające się MACi

    Wielkie dzięki za rady :)
  • Poziom 21  
    Warto przeczytac ten temat i po odsianiu smieci jest tam wiele ciekawych i wartych uwagi postow, jak zabezpieczyc siec, jak sie wlamywac samemu, jak szukac wlamywaczy itp. W razie czego polecam jeszcze taka metode