none
懷疑網路內有人私架 DHCP Server, 請問怎麼查? RRS feed

  • 問題

  • 我指定的 DHCP Server 在 192.168.1.5-192.168.1.40 之間指派 IP

    但最近忽然抓到的 IP 會在 192.168.1.110 左右, 請問怎麼查? 謝謝!!

    2007年3月29日 上午 01:05

解答

  • 補充一下, 如果用OS內建的Network Monitor Tools

    因為是簡易版, 只能抓取與自己通訊的流量

    大多數的網路流量都會抓不到

     

    要使用SMS內的完整功能版才行

    或者網路上其他廠商提供的工具

     

    另外 MOM 也可以處理樓主提出的這類監控行為

    2007年3月29日 上午 09:36
  •  Wolf-C 寫信:

    有2個簡單的方法

    1. 把你的ip 設定到  192.168.1.111  去掃那個區段的ip 應該就會發現...

    2. 用 抓到 192.168.1.110  的 pc 查 ipconfig  看它的 hdcp server

     

    針對這個情境, 使用這個方式的確可以解決

    但是如果有其他區域也發生, 那就得針對該情形比對辦理

     

    因此比較建議採用全面的監控方式

    才是企業的解決方案

    2007年4月8日 上午 09:54

所有回覆

  • 利用 network monitor

    去查查底層的封包 看看是那台機器的MAC 在回應DHCP

    的需求

    2007年3月29日 上午 01:48
  • 補充一下, 如果用OS內建的Network Monitor Tools

    因為是簡易版, 只能抓取與自己通訊的流量

    大多數的網路流量都會抓不到

     

    要使用SMS內的完整功能版才行

    或者網路上其他廠商提供的工具

     

    另外 MOM 也可以處理樓主提出的這類監控行為

    2007年3月29日 上午 09:36
  • 有2個簡單的方法

    1. 把你的ip 設定到  192.168.1.111  去掃那個區段的ip 應該就會發現...

    2. 用 抓到 192.168.1.110  的 pc 查 ipconfig  看它的 hdcp server

     

    2007年3月29日 下午 02:24
  •  Wolf-C 寫信:

    有2個簡單的方法

    1. 把你的ip 設定到  192.168.1.111  去掃那個區段的ip 應該就會發現...

    2. 用 抓到 192.168.1.110  的 pc 查 ipconfig  看它的 hdcp server

     

    針對這個情境, 使用這個方式的確可以解決

    但是如果有其他區域也發生, 那就得針對該情形比對辦理

     

    因此比較建議採用全面的監控方式

    才是企業的解決方案

    2007年4月8日 上午 09:54
  • 這個問題已經解決了, 抓到一台 Dlink DI-604

    使用者把它當成 HUB 使用, 卻沒關掉 DHCP 所導致.

     

    處理方式如下:

    1. 在 PC Host 安裝 Virtual PC, 將 VPC Client 設成 DHCP Client

    2. 在 PC Host 安裝 Ethereal, 抓取 DHCP Client 要求 IP 時的封包

    3. 分析封包, 發現當 DHCP Client 在要求 IP 時, 有兩個 DHCP Server 回應它, 記下 DHCP Server MAC

    4. 到 Switch 查此異常的 DHCP Server MAC 來自於哪個 port (這個 Switch 剛好有網管功能)

    5. 找到異常的 DHCP Server, 關掉 DHCP Server

     

    謝謝大家的幫忙!!

     

     

     

     

    2007年4月9日 上午 01:03
  • 果然還是得依賴網路流量截取工具進行分析才能解決

    基本功還是不能省去的, IT人員得多辛苦囉

    2007年7月20日 上午 02:58