Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

DHCP i zdublowane numery IP

bnacha 31 Sty 2007 11:11 3961 16
  • #1 31 Sty 2007 11:11
    bnacha
    Poziom 14  

    Sieć wygląda następująco:
    - router ze switchem i modemem pod NEO,
    - 2 x AP: jeden ustawiony jako reapeter.

    Router ma włączony DHCP. Na żadnym z APeków nie jest włączone DHCP.
    Na APekach jest filtracja po MACach.

    Problem jest taki, że w sieci pojawiają się zdublowane numery IP. Co ciekawe numery bywają przydzielane z poza puli numerów dostępnych. Np. pula adresów ma końcówkę 100-150, a np. DHCP przydziela numery z końcówką od 5 wzwyż, przydzielając przy tym np. dwum komputerom te same numery.

    Spotkał się ktoś z Was z podobnym problemem?

    0 16
  • #2 31 Sty 2007 11:16
    trocse
    VIP Zasłużony dla elektroda

    Pytanie czy aby napewno te adresy sa przydzielane przez DHCP czy moze wpisane z palca. Druga sprawa czy te AP przepuszczaja MAC kart do routera.

    0
  • #3 31 Sty 2007 11:22
    bnacha
    Poziom 14  

    Adresy są napewno przydzielane z DHCP - tymczasowo ratuję się przydzielając stałe IP, ale pule adresów mam tak rozplanowane, że nie ma prawa dojść do konfliktów.

    AP to EDIMAX 802.11G numery MAC muszą przepuszczać, bo na routerze widzę jakim MACom przypisało jaki IP.

    Tyle, że widzę, że np. przy puli adresów 192.168.0.11 - 192.168.0.30 przypisuje z DHCP numer 192.168.0.5 - i tu jest problem...

    0
  • #4 31 Sty 2007 11:27
    trocse
    VIP Zasłużony dla elektroda

    To sprawdz co to jest na tym 192.168.0.5, programik lookatlan moze sporo pokazac, moze ktos sie wpiaj z boku z AP i sobie kradnie necik i ma odpalony wlasnie dhcp

    0
  • #5 31 Sty 2007 11:40
    bnacha
    Poziom 14  

    Jak będę w zasięgu sieci to ją przetestuję pod tym kątem.

    Ale w czym rzecz:
    Konflikty potrafią się pokazywać na komputerach w wewnątrz sieci np.

    Do switcha jest podłączony komputer (którego MAC nie jest wprowadzony do AP, bo sygnał idzie w 100% po kablu) i komputer ten wchodzi w konflikty z jednym z laptopów pracujących w sieci.
    Wyłączenie jednego z komputerów powoduje ustąpnienie generowania konfliktów.

    0
  • #6 31 Sty 2007 11:44
    trocse
    VIP Zasłużony dla elektroda

    Inerfejsy w kompach moga posiadac kilka adresow IP pod tym wzgledem tez trzeba sprawdzic ten komp, bo jedno moze dostawac od DHCp a drugi adres moze miec wpisane na stale i niby go nie widac, ale na spokojnie sprawdzisz co i jak skad kto i co dostaje.

    0
  • #7 31 Sty 2007 11:54
    bnacha
    Poziom 14  

    I tu się zgadzam uroki XP - o tym nie pomyślałem.

    Ale w momencie pojawienia się konfliktów na stałe zacząłem przypisywać numery IP, tak więc na każdym komputerze, na którym robiłem taki zabieg na pewno jest wyłączone DHCP, czytaj - mniej ognisk zapalnych. Komputery na których pojawiają się konflikty nie miały nigdy na tym interfejsie przypisanego stałego IP...

    Nic - napiszę więcej jak przeskanuję sieć - aczkolwiek patrząc na zużycie limitu to zbytnio nikt się nie podpina...

    0
  • #8 31 Sty 2007 20:20
    bnacha
    Poziom 14  

    Skanowałem kilka razy sieć i nic złego nie wykryłem. Zresztą moim zdaniem ten test nie jest miarodajny, gdyż wystarczy sobie jakiegoś firewalla zamontować i już nie widać komputera...

    0
  • #9 02 Lut 2007 00:45
    DooMinick
    Poziom 21  

    Ja bym odpalil jakis sniffer (oczywiscie potrafiacy dzialac na switchu) i sprobowal znalezc moment, w ktorym dochodzi do konfliktu, skad konkretnie pobierane jest dhcp. Mozesz zostawic snifferka na jakis czas, dopoki nie zostanie zgloszona kolejna awaria i wtedy probowac cos robic. Ostateczna mozliwoscia jest zle skonfigurowany router (moze pomoze zmiana czasu dzierzawy, sprobowalbym skrajnosci, albo zmiana zakresow, a moze upgrade firmware).

    0
  • #10 02 Lut 2007 00:51
    bnacha
    Poziom 14  

    Firmware jest najnowszy. Dzierżawę IP w chwili zaczęcia się problemów zmniejszyłem z 24h do 6h, ale mam wrażenie, że to nie router rozdaje numery.

    Ewentualnie zastanawiam się czy czasami nie postawić dwóch serwerów DHCP na APkach (oczywiście z innymi pulami numerów) i wyłączyć DHCP w routerze...

    Na razie nie mam zgłoszeń, że coś się dzieje, ale to pewnie tylko przez to, że numery powpisywane są mniej-więcej na stałe...

    0
  • #11 02 Lut 2007 01:05
    DooMinick
    Poziom 21  

    Ja bym sprobowal powrocic do DHCP i snifferek, nawet przez dzien, dwa. Bo gdyby to bylo u mnie, podejrzewalbym jakiegos dowcipnisia stawiajacego sobie DHCP i zbierajacego zapytania od innych. A co do dlugosci dzierzaw probowalbym skrajnosci, od wielu dni do 1sek.

    0
  • #12 02 Lut 2007 20:49
    bnacha
    Poziom 14  

    Dzisiaj byłem i na dzień dobry zdublowany MAC i to mój w laptopie :) Gostek szybko się spłoszył, ale log na moim firewallu pozostał :) Na początku wyleciał mi duplikat MAC a IP ustawiło mi na 169.254.107.23, po czym po chwili przyznane zostało 192.168.0.12.

    Fakt dziwnego przydzielania mi numerów IP może wynikać z faktu, że u siebie mam taki sam router i jakoś z dzierżawą adresów wychodzi tak, że komputer ciągle mój "domowy" adres pamięta... [edit: chodzi mi o to, że u mnie IPki rozdaje router od końcówki 10, a u gostka aktualnie od końcówki 100]

    Ale wracając do sedna. Zastanawiam się jak gostka wykurzyć, nie robiąc problemów użytkownikom.

    Zastanawiam się czy szyfrowanie połączeń coś by zmieniło...

    0
  • #13 03 Lut 2007 00:35
    DooMinick
    Poziom 21  

    Ja bym sprobowal jakos namierzyc kto to taki. Sniffer powinien podac adres MAC tego drugiego serwera DHCP, jesli tylko ktos pobierze od niego IP. Wtedy sprobowac sprawdzic, czy nie istnieje w naszej bazie ARP taki komputer i wiadomo wtedy o kogo chodzi. W przeciwnym razie (gdyby DHCP robil ktos obcy, na przyklad po WiFi, lub gdyby ktos sobie sprzetowy router postawil) moze sie nie udac wysledzenie, jedynie jakis zarzadzalny switch by pomogl (przydzielenie 1 port 1 IP konkretne i z glowy, ale to droga zabawka).

    0
  • #14 03 Lut 2007 01:04
    bnacha
    Poziom 14  

    Sieć po Lanie jest szczelna (bo w sumie dużo jej nie ma) i za nią ręczę w 100%.

    To coś postawione jest na wifi. Jedyny plus całego zajścia to taki, że gostek po za tym DHCP nie jest jakiś nachalny i z p2p nic nie ściąga...

    A tak pozostaje bezsilność :/ Przynajmniej na razie

    0
  • Pomocny post
    #15 03 Lut 2007 02:02
    DooMinick
    Poziom 21  

    Ciezko bedzie goscia zlapac, trzeba teraz poszukac zdublowanych MAC (sniff i patrzymy, ktory MAC prowadzi 2 sesje gg itp. podejrzane zachowania, WLAN nie rozroznia 2 klientow z tym samym MAC uznajac ich za 1 i przekazujac pakiety tak samo). Jak znamy MAC patrzymy, gdzie legalny klient z takim MAC mieszka i zaczynamy zabawe w wardriving, probujac namierzyc (chyba jedynie za pomoca jakiejs karty przelaczonej w tryb AP i nadajacej ssid takie samo, jak tamten (a tamtego chwilowo wylaczyc) i poszukac najlepszego sygnalu o takim MAC, pewnie pomoze nam jakas wystajaca antena i juz wiadomo. Wtedy grzecznie prosimy delikwenta osobiscie o odwalenie sie. Brak poczucia anonimowosci moze zdzialac cuda.

    Oczywiscie nie testowalem takiego sposobu szukania, ale wydaje mi sie ze moze to zadzialac.

    0
  • #16 03 Lut 2007 02:07
    bnacha
    Poziom 14  

    W sumie nie głupi pomysł
    MACi wszstkie znam - dużo ich niema - sieć ma taki charakter, że będzie od razu widać podszywające się MACi

    Wielkie dzięki za rady :)

    0
  • #17 03 Lut 2007 02:14
    DooMinick
    Poziom 21  

    Warto przeczytac ten temat i po odsianiu smieci jest tam wiele ciekawych i wartych uwagi postow, jak zabezpieczyc siec, jak sie wlamywac samemu, jak szukac wlamywaczy itp. W razie czego polecam jeszcze taka metode

    0