logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak rozwiązać problem zdublowanych numerów IP w sieci z DHCP?

bnacha 31 Sty 2007 11:11 5851 16
REKLAMA
  • #1 3509999
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    Sieć wygląda następująco:
    - router ze switchem i modemem pod NEO,
    - 2 x AP: jeden ustawiony jako reapeter.

    Router ma włączony DHCP. Na żadnym z APeków nie jest włączone DHCP.
    Na APekach jest filtracja po MACach.

    Problem jest taki, że w sieci pojawiają się zdublowane numery IP. Co ciekawe numery bywają przydzielane z poza puli numerów dostępnych. Np. pula adresów ma końcówkę 100-150, a np. DHCP przydziela numery z końcówką od 5 wzwyż, przydzielając przy tym np. dwum komputerom te same numery.

    Spotkał się ktoś z Was z podobnym problemem?
  • REKLAMA
  • #2 3510013
    trocse
    VIP Zasłużony dla elektroda
    Posty: 1848
    Pomógł: 203
    Ocena: 28
    Pytanie czy aby napewno te adresy sa przydzielane przez DHCP czy moze wpisane z palca. Druga sprawa czy te AP przepuszczaja MAC kart do routera.
  • #3 3510034
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    Adresy są napewno przydzielane z DHCP - tymczasowo ratuję się przydzielając stałe IP, ale pule adresów mam tak rozplanowane, że nie ma prawa dojść do konfliktów.

    AP to EDIMAX 802.11G numery MAC muszą przepuszczać, bo na routerze widzę jakim MACom przypisało jaki IP.

    Tyle, że widzę, że np. przy puli adresów 192.168.0.11 - 192.168.0.30 przypisuje z DHCP numer 192.168.0.5 - i tu jest problem...
  • #4 3510045
    trocse
    VIP Zasłużony dla elektroda
    Posty: 1848
    Pomógł: 203
    Ocena: 28
    To sprawdz co to jest na tym 192.168.0.5, programik lookatlan moze sporo pokazac, moze ktos sie wpiaj z boku z AP i sobie kradnie necik i ma odpalony wlasnie dhcp
  • REKLAMA
  • #5 3510088
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    Jak będę w zasięgu sieci to ją przetestuję pod tym kątem.

    Ale w czym rzecz:
    Konflikty potrafią się pokazywać na komputerach w wewnątrz sieci np.

    Do switcha jest podłączony komputer (którego MAC nie jest wprowadzony do AP, bo sygnał idzie w 100% po kablu) i komputer ten wchodzi w konflikty z jednym z laptopów pracujących w sieci.
    Wyłączenie jednego z komputerów powoduje ustąpnienie generowania konfliktów.
  • #6 3510105
    trocse
    VIP Zasłużony dla elektroda
    Posty: 1848
    Pomógł: 203
    Ocena: 28
    Inerfejsy w kompach moga posiadac kilka adresow IP pod tym wzgledem tez trzeba sprawdzic ten komp, bo jedno moze dostawac od DHCp a drugi adres moze miec wpisane na stale i niby go nie widac, ale na spokojnie sprawdzisz co i jak skad kto i co dostaje.
  • #7 3510140
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    I tu się zgadzam uroki XP - o tym nie pomyślałem.

    Ale w momencie pojawienia się konfliktów na stałe zacząłem przypisywać numery IP, tak więc na każdym komputerze, na którym robiłem taki zabieg na pewno jest wyłączone DHCP, czytaj - mniej ognisk zapalnych. Komputery na których pojawiają się konflikty nie miały nigdy na tym interfejsie przypisanego stałego IP...

    Nic - napiszę więcej jak przeskanuję sieć - aczkolwiek patrząc na zużycie limitu to zbytnio nikt się nie podpina...
  • REKLAMA
  • #8 3512266
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    Skanowałem kilka razy sieć i nic złego nie wykryłem. Zresztą moim zdaniem ten test nie jest miarodajny, gdyż wystarczy sobie jakiegoś firewalla zamontować i już nie widać komputera...
  • #9 3517568
    DooMinick
    Poziom 21  
    Posty: 359
    Pomógł: 31
    Ocena: 9
    Ja bym odpalil jakis sniffer (oczywiscie potrafiacy dzialac na switchu) i sprobowal znalezc moment, w ktorym dochodzi do konfliktu, skad konkretnie pobierane jest dhcp. Mozesz zostawic snifferka na jakis czas, dopoki nie zostanie zgloszona kolejna awaria i wtedy probowac cos robic. Ostateczna mozliwoscia jest zle skonfigurowany router (moze pomoze zmiana czasu dzierzawy, sprobowalbym skrajnosci, albo zmiana zakresow, a moze upgrade firmware).
  • #10 3517586
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    Firmware jest najnowszy. Dzierżawę IP w chwili zaczęcia się problemów zmniejszyłem z 24h do 6h, ale mam wrażenie, że to nie router rozdaje numery.

    Ewentualnie zastanawiam się czy czasami nie postawić dwóch serwerów DHCP na APkach (oczywiście z innymi pulami numerów) i wyłączyć DHCP w routerze...

    Na razie nie mam zgłoszeń, że coś się dzieje, ale to pewnie tylko przez to, że numery powpisywane są mniej-więcej na stałe...
  • REKLAMA
  • #11 3517614
    DooMinick
    Poziom 21  
    Posty: 359
    Pomógł: 31
    Ocena: 9
    Ja bym sprobowal powrocic do DHCP i snifferek, nawet przez dzien, dwa. Bo gdyby to bylo u mnie, podejrzewalbym jakiegos dowcipnisia stawiajacego sobie DHCP i zbierajacego zapytania od innych. A co do dlugosci dzierzaw probowalbym skrajnosci, od wielu dni do 1sek.
  • #12 3520518
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    Dzisiaj byłem i na dzień dobry zdublowany MAC i to mój w laptopie :) Gostek szybko się spłoszył, ale log na moim firewallu pozostał :) Na początku wyleciał mi duplikat MAC a IP ustawiło mi na 169.254.107.23, po czym po chwili przyznane zostało 192.168.0.12.

    Fakt dziwnego przydzielania mi numerów IP może wynikać z faktu, że u siebie mam taki sam router i jakoś z dzierżawą adresów wychodzi tak, że komputer ciągle mój "domowy" adres pamięta... [edit: chodzi mi o to, że u mnie IPki rozdaje router od końcówki 10, a u gostka aktualnie od końcówki 100]

    Ale wracając do sedna. Zastanawiam się jak gostka wykurzyć, nie robiąc problemów użytkownikom.

    Zastanawiam się czy szyfrowanie połączeń coś by zmieniło...
  • #13 3521514
    DooMinick
    Poziom 21  
    Posty: 359
    Pomógł: 31
    Ocena: 9
    Ja bym sprobowal jakos namierzyc kto to taki. Sniffer powinien podac adres MAC tego drugiego serwera DHCP, jesli tylko ktos pobierze od niego IP. Wtedy sprobowac sprawdzic, czy nie istnieje w naszej bazie ARP taki komputer i wiadomo wtedy o kogo chodzi. W przeciwnym razie (gdyby DHCP robil ktos obcy, na przyklad po WiFi, lub gdyby ktos sobie sprzetowy router postawil) moze sie nie udac wysledzenie, jedynie jakis zarzadzalny switch by pomogl (przydzielenie 1 port 1 IP konkretne i z glowy, ale to droga zabawka).
  • #14 3521575
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    Sieć po Lanie jest szczelna (bo w sumie dużo jej nie ma) i za nią ręczę w 100%.

    To coś postawione jest na wifi. Jedyny plus całego zajścia to taki, że gostek po za tym DHCP nie jest jakiś nachalny i z p2p nic nie ściąga...

    A tak pozostaje bezsilność :/ Przynajmniej na razie
  • Pomocny post
    #15 3521652
    DooMinick
    Poziom 21  
    Posty: 359
    Pomógł: 31
    Ocena: 9
    Ciezko bedzie goscia zlapac, trzeba teraz poszukac zdublowanych MAC (sniff i patrzymy, ktory MAC prowadzi 2 sesje gg itp. podejrzane zachowania, WLAN nie rozroznia 2 klientow z tym samym MAC uznajac ich za 1 i przekazujac pakiety tak samo). Jak znamy MAC patrzymy, gdzie legalny klient z takim MAC mieszka i zaczynamy zabawe w wardriving, probujac namierzyc (chyba jedynie za pomoca jakiejs karty przelaczonej w tryb AP i nadajacej ssid takie samo, jak tamten (a tamtego chwilowo wylaczyc) i poszukac najlepszego sygnalu o takim MAC, pewnie pomoze nam jakas wystajaca antena i juz wiadomo. Wtedy grzecznie prosimy delikwenta osobiscie o odwalenie sie. Brak poczucia anonimowosci moze zdzialac cuda.

    Oczywiscie nie testowalem takiego sposobu szukania, ale wydaje mi sie ze moze to zadzialac.
  • #16 3521656
    bnacha
    Poziom 15  
    Posty: 121
    Pomógł: 9
    Ocena: 2
    W sumie nie głupi pomysł
    MACi wszstkie znam - dużo ich niema - sieć ma taki charakter, że będzie od razu widać podszywające się MACi

    Wielkie dzięki za rady :)
  • #17 3521662
    DooMinick
    Poziom 21  
    Posty: 359
    Pomógł: 31
    Ocena: 9
    Warto przeczytac ten temat i po odsianiu smieci jest tam wiele ciekawych i wartych uwagi postow, jak zabezpieczyc siec, jak sie wlamywac samemu, jak szukac wlamywaczy itp. W razie czego polecam jeszcze taka metode

Podsumowanie tematu

✨ W sieci z routerem z włączonym DHCP oraz dwoma punktami dostępowymi (jeden w trybie repeatera) pojawia się problem zdublowanych adresów IP, w tym przydzielanych spoza zdefiniowanej puli DHCP. Router rozdaje adresy IP z zakresu 192.168.0.11-192.168.0.30, jednak zdarza się, że adresy z poza tej puli, np. 192.168.0.5, są przydzielane dwóm urządzeniom jednocześnie, powodując konflikty. DHCP jest wyłączone na AP, które stosują filtrację MAC, a adresy IP są na większości komputerów przypisane statycznie, co nie eliminuje problemu. Podejrzewa się obecność nieautoryzowanego serwera DHCP działającego w sieci WiFi, który przydziela adresy IP, co potwierdzają zdublowane adresy MAC i nietypowe adresy IP. Proponowane rozwiązania to użycie sniffera sieciowego do wykrycia źródła konfliktów i nieautoryzowanego DHCP, zmiana czasu dzierżawy adresów IP, zmiana zakresu DHCP, aktualizacja firmware routera oraz ewentualne przeniesienie serwera DHCP na AP z różnymi pulami adresów. Wskazano także na konieczność namierzania intruza po adresie MAC, wykorzystując metody wardrivingu i monitoringu sieciowego, aby wyeliminować nieautoryzowany dostęp i zapobiec dalszym konfliktom IP.
Podsumowanie wygenerowane przez AI na podstawie treści dyskusji.
REKLAMA