Không có internet sau khi thuê lại dhcp

Hôm nay chúng tôi đã có một số máy ngừng truy cập internet. Sau rất nhiều sự cố, vấn đề chung là tất cả họ đã được gia hạn hợp đồng thuê dhcp của họ ngày hôm nay (chúng tôi cho thuê 8 ngày ở đây).

Mọi thứ bạn mong đợi sẽ tốt sau khi gia hạn hợp đồng thuê: họ có địa chỉ IP hợp lệ, máy chủ dns và cổng. Họ có quyền truy cập vào tài nguyên nội bộ (chia sẻ tệp, mạng nội bộ, máy in, v.v.). Một chút khắc phục sự cố cho thấy họ không thể ping hoặc tracert đến cổng của chúng tôi, nhưng họ có thể chuyển sang lớp 3 lõi của chúng tôi ngay trước cổng. Việc gán IP tĩnh cho máy hoạt động như một giải pháp tạm thời.

Một nếp nhăn cuối cùng là cho đến nay các báo cáo chỉ xuất hiện cho các khách hàng trên cùng một vlan như cổng. Nhân viên hành chính và giảng viên của chúng tôi ở cùng vlan với máy chủ và máy in, nhưng điện thoại, fob / máy ảnh chính, sinh viên / wifi và phòng thí nghiệm đều có vlans riêng và theo như tôi chưa thấy gì trên bất kỳ vlans nào khác đã có một vấn đề chưa.

Tôi có một vé riêng với nhà cung cấp cổng, nhưng tôi nghi ngờ họ sẽ giải quyết dễ dàng và cho tôi biết vấn đề là ở đâu đó trên mạng, vì vậy tôi cũng đang hỏi ở đây. Tôi đã xóa bộ đệm arp trên cổng và chuyển đổi lõi. Mọi ý tưởng đều được chào đón.

Cập nhật:
Tôi đã thử ping từ cổng trở lại một số máy chủ bị ảnh hưởng và điều kỳ lạ là tôi đã nhận được phản hồi: từ một địa chỉ IP hoàn toàn khác. Tôi đã thử một vài lần nữa một cách ngẫu nhiên và cuối cùng nhận được điều này:

Thứ Sáu 02 Tháng 9 2011 13:08:51 GMT-0500 (Giờ ban ngày miền Trung)
PING 10.1.1.97 (10.1.1.97) 56 (84) byte dữ liệu.
64 byte từ 10.1.1.105: icmp_seq = 1 ttl = 255 time = 1.35 ms
64 byte từ 10.1.1.97: icmp_seq = 1 ttl = 255 time = 39.9 ms (DUP!)

10.1.1.97 là mục tiêu dự định thực tế của ping. 10.1.1.105 được coi là một máy in trong một tòa nhà khác. Tôi chưa bao giờ thấy DUP trong phản hồi ping trước đây.

Dự đoán tốt nhất của tôi tại thời điểm này là một bộ định tuyến wifi lừa đảo trong một trong các phòng ký túc xá của chúng tôi trên mạng con 10.1.1.0/24 với một cổng xấu.

... Tiếp tục. Bây giờ tôi đã tắt máy in vi phạm và ping đến máy chủ bị ảnh hưởng từ cổng hoàn toàn thất bại.

Cập nhật 2:
Tôi kiểm tra các bảng arp tại một máy bị ảnh hưởng, cổng và mọi chuyển đổi giữa chúng. Tại mỗi điểm, các mục nhập cho các thiết bị đó đều chính xác. Tôi đã không xác minh mọi mục trong bảng, nhưng mọi mục có thể ảnh hưởng đến lưu lượng giữa máy chủ và cổng đều ổn. ARP không phải là vấn đề.

Cập nhật 3: Hiện tại
mọi thứ đang hoạt động, nhưng tôi không thể thấy bất cứ điều gì tôi đã làm để khắc phục chúng và vì vậy tôi không biết liệu đây có phải chỉ là một sự tạm lắng tạm thời hay không. Dù sao, bây giờ tôi không thể làm gì nhiều để chẩn đoán hoặc khắc phục sự cố, nhưng tôi sẽ cập nhật thêm nếu nó bị hỏng lần nữa.

"Dự đoán tốt nhất của tôi tại thời điểm này là một bộ định tuyến wifi lừa đảo trong một trong các phòng ký túc xá của chúng tôi trên mạng con 10.1.1.0/24 với một cổng xấu."

Điều này đã xảy ra trong văn phòng của tôi. Thiết bị vi phạm hóa ra là một thiết bị Android lừa đảo:

http://code.google.com.vn/p/android/issues/detail?id=11236

Nếu thiết bị Android nhận IP của cổng từ một mạng khác thông qua DHCP, thiết bị đó có thể tham gia mạng của bạn và bắt đầu trả lời các yêu cầu ARP cho IP cổng với MAC. Việc bạn sử dụng mạng 10.1.1.0/24 phổ biến làm tăng xác suất của tình huống giả mạo này.

Tôi đã có thể kiểm tra bộ đệm ARP trên máy trạm bị ảnh hưởng trên mạng. Ở đó, tôi quan sát thấy một vấn đề thông lượng ARP trong đó máy trạm sẽ lật giữa MAC chính xác và địa chỉ MAC từ một số thiết bị giả mạo. Khi tôi tra cứu MAC đáng ngờ mà máy trạm dành cho cổng, nó đã quay lại với tiền tố Samsung. Người dùng sắc sảo với máy trạm gặp rắc rối trả lời rằng anh ta biết ai có thiết bị Samsung trên mạng của chúng tôi. Hóa ra là CEO.

Như đã thảo luận trong phần bình luận, việc chụp gói là thực sự quan trọng. Tuy nhiên, cũng có một công cụ thực sự tuyệt vời gọi là arpwatch:

http://ee.lbl.gov/

(hoặc http://sid.rstack.org/arp-sk/ cho các cửa sổ)

Công cụ này sẽ gửi email cho bạn hoặc chỉ giữ một bản ghi của tất cả các Địa chỉ MAC mới thấy trên mạng cũng như mọi thay đổi đối với địa chỉ MAC cho IP trên một mạng con nhất định (flip-flop). Đối với vấn đề này, bạn đã phát hiện ra cả hai lý thuyết hiện tại bằng cách báo cáo rằng có sự cố xảy ra đối với IP thay đổi MAC hoặc bạn sẽ thấy MAC mới cho bộ định tuyến DHCP lừa đảo khi lần đầu tiên bắt đầu giao tiếp với máy chủ. Mặt trái của công cụ là bạn cần kết nối máy chủ với tất cả các mạng mà bạn theo dõi, nhưng đó là một cái giá nhỏ cho thông tin tuyệt vời mà nó có thể cung cấp để giúp chẩn đoán các loại vấn đề này.

Một cách nhanh chóng để phát hiện các máy chủ DHCP lừa đảo điển hình là ping cổng mà nó phục vụ và sau đó kiểm tra MAC của nó trong bảng ARP tương ứng. Nếu cơ sở hạ tầng chuyển mạch là cơ sở được quản lý, thì MAC cũng có thể được theo dõi đến cổng lưu trữ và cổng có thể bị tắt hoặc truy ngược lại vị trí của thiết bị vi phạm để khắc phục thêm.

Việc sử dụng DHCP Snooping trên các thiết bị chuyển mạch hỗ trợ nó cũng có thể là một lựa chọn hiệu quả trong việc bảo vệ mạng khỏi các máy chủ DHCP lừa đảo.