Brak internetu po odnowieniu dzierżawy dhcp

10

Dzisiaj mieliśmy wiele maszyn, które przestały uzyskiwać dostęp do Internetu. Po wielu problemach, wspólnym tematem jest to, że wszyscy mieli dzisiaj przedłużoną dzierżawę dhcp (jesteśmy tutaj na 8-dniowe dzierżawy).

Wszystko, czego można oczekiwać, wygląda dobrze po odnowieniu dzierżawy: mają prawidłowy adres IP, serwer dns i bramę. Mają dostęp do zasobów wewnętrznych (udziałów plików, intranetu, drukarek itp.). Nieco więcej problemów z rozwiązywaniem problemów ujawnia, że ​​nie są w stanie pingować ani śledzić naszej bramy, ale mogą dostać się do naszego przełącznika warstwy podstawowej 3 przed bramą. Przypisanie statycznego adresu IP do maszyny działa jako rozwiązanie tymczasowe.

Ostatnie pomarszczenie polega na tym, że jak dotąd raporty pojawiły się tylko dla klientów na tym samym vlan co brama. Nasi pracownicy administracyjni i wykładowcy są na tym samym vlan co serwery i drukarki, ale telefony, piloty / aparaty fotograficzne, studenci / wifi i laboratoria mają swoje własne vlany i, o ile nie widziałem nic na żadnym innym vlanie miał jeszcze problem.

Mam osobny bilet u dostawcy bramy, ale podejrzewam, że wyciągną łatwość i powiedzą mi, że problem występuje gdzie indziej w sieci, więc tutaj też pytam. Wyczyściłem pamięć podręczną arp na bramie i przełączniku rdzenia. Wszelkie pomysły są mile widziane.

Aktualizacja:
Próbowałem pingować z bramy z powrotem na niektóre hosty, których dotyczy problem, i dziwne jest to, że otrzymałem odpowiedź: z zupełnie innego adresu IP. Próbowałem jeszcze kilka losowo i ostatecznie otrzymałem to:

Pt 02 września 2011 13:08:51 GMT-0500 (Centralny czas letni)
PING 10.1.1.97 (10.1.1.97) 56 (84) bajtów danych.
64 bajty od 10.1.1.105: icmp_seq = 1 ttl = 255 czas = 1,35 ms
64 bajty od 10.1.1.97: icmp_seq = 1 ttl = 255 czas = 39,9 ms (DUP!)

10.1.1.97 to rzeczywisty zamierzony cel polecenia ping. 10.1.1.105 ma być drukarką w innym budynku. Nigdy wcześniej nie widziałem DUP w odpowiedzi ping.

W tej chwili przypuszczam, że nieuczciwy router Wi-Fi w jednym z naszych pokoi w akademiku w podsieci 10.1.1.0/24 ze złą bramą.

...nieprzerwany. Teraz wyłączyłem szkodliwą drukarkę, a pingowanie do zainfekowanego hosta z bramy po prostu całkowicie zawodzi.

Aktualizacja 2:
Sprawdzam tabele arp na maszynie, bramie i każdym przełączniku między nimi. W każdym punkcie wpisy dla tych urządzeń były prawidłowe. Nie zweryfikowałem każdego wpisu w tabeli, ale każdy wpis, który mógł wpłynąć na ruch między hostem a bramą, był w porządku. ARP nie stanowi problemu.

Aktualizacja 3:
W tej chwili wszystko działa, ale nie widzę nic, co zrobiłem, aby je naprawić, więc nie mam pojęcia, czy może to być chwilowa przerwa. W każdym razie niewiele mogę teraz zrobić, aby zdiagnozować lub rozwiązać problem, ale zaktualizuję więcej, jeśli znowu się zepsuje.

networking  routing  dhcp  internet 
Joel Coel
źródło
Ping działa na ich bramie? Czy skonfigurowane serwery DNS są w tej samej podsieci, czy gdzie indziej? Rozdzielczość DNS działa?
Shane Madden
@Shane, wszystko działa, a odpowiedź znajduje się w tekście
Joel Coel
Powiedziałeś „nie można pingować ani śledzić naszej bramy” - czy to brama pierwszego skoku urządzenia, czy router internetowy, do którego kierowany jest ich ruch po przekierowaniu przez inne urządzenie pierwszego skoku?
Shane Madden,
2
Uruchomiłbym przechwytywanie pakietów na jednym z klientów, a następnie ping i śledzenie trasy do bramy. Zobacz, które adresy MAC pojawiają się w przechwytywaniu, dla których adresów IP, a także poszukaj przekierowań ICMP. Przyjrzałbym się również tabeli ARP na jednym z klientów, przełączniku i bramie i upewniłem się, że wyglądają prawidłowo.
joeqwerty
1
Aby wyjaśnić: mówisz, że brama ma poprawny ARP dla hosta, którego dotyczy problem, a host ma prawidłowy ARP z powrotem do bramy, ale brama nie otrzymuje odpowiedzi podczas próby pingowania hosta? Czy pakiety ping docierają do urządzenia, czy też nie są poprawnie przełączane?
Shane Madden,

Odpowiedzi:

3

„Moim najlepszym przypuszczeniem jest nieuczciwy router Wi-Fi w jednym z naszych pokoi w akademiku w podsieci 10.1.1.0/24 ze złą bramą”.

Stało się to w moim biurze. Obraźliwe urządzenie okazało się nieuczciwym urządzeniem z Androidem:

http://code.google.com/p/android/issues/detail?id=11236

Jeśli urządzenie z systemem Android pobiera adres IP bramy z innej sieci za pośrednictwem DHCP, może dołączyć do sieci i zacząć odpowiadać na żądania ARP dotyczące adresu IP bramy za pomocą swojego adresu MAC. Korzystanie ze wspólnej sieci 10.1.1.0/24 zwiększa prawdopodobieństwo tego nieuczciwego scenariusza.

Byłem w stanie sprawdzić pamięć podręczną ARP na zaatakowanej stacji roboczej w sieci. Tam zauważyłem problem z przepływnością ARP, w którym stacja robocza przerzucała między poprawnym MAC a adresem MAC z jakiegoś nieuczciwego urządzenia. Kiedy spojrzałem na podejrzany MAC, który stacja robocza miała dla bramy, wróciła z prefiksem Samsunga. Bystry użytkownik z problematyczną stacją roboczą odpowiedział, że wie, kto ma urządzenie Samsung w naszej sieci. Okazał się CEO.

dmourati
źródło
2

Jak już wspomniano w sekcji komentarzy, uzyskanie przechwytywania pakietów jest bardzo ważne. Istnieje jednak naprawdę świetne narzędzie o nazwie arpwatch:

http://ee.lbl.gov/

(lub http://sid.rstack.org/arp-sk/ dla Windows)

To narzędzie wyśle ​​Ci wiadomość e-mail lub po prostu rejestruje wszystkie nowe adresy MAC widoczne w sieci, a także wszelkie zmiany adresów MAC dla adresów IP w danej podsieci (przerzutniki). W przypadku tego problemu wykryłbyś obie bieżące teorie, zgłaszając albo, że działały przerzutniki dla adresów IP zmieniających adresy MAC, lub zobaczyłeś nowy adres MAC dla nieuczciwego routera DHCP, gdy po raz pierwszy zaczął komunikować się z hostami. Jedyną wadą tego narzędzia jest to, że musisz mieć hosta podłączonego do wszystkich monitorowanych sieci, ale jest to niewielka cena za wspaniałe informacje, które może dostarczyć, aby pomóc zdiagnozować tego rodzaju problemy.

wielomian
źródło
1

Szybkim sposobem na wykrycie typowych nieuczciwych serwerów DHCP jest pingowanie bramy, którą obsługuje, a następnie sprawdzenie jej adresu MAC w odpowiedniej tabeli ARP. Jeśli infrastruktura przełączająca jest zarządzana, MAC można również wyśledzić do portu, na którym jest hostowany, a port można albo zamknąć, albo prześledzić z powrotem do lokalizacji urządzenia naruszającego prawo w celu dalszego zadośćuczynienia.

Zastosowanie DHCP Snooping na przełącznikach, które go obsługują, może być również skuteczną opcją w ochronie sieci przed nieuczciwymi serwerami DHCP.

użytkownik48838
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.