私起DHCP服务器处理

今天在处理一起私起dhcp处理的一沓糊涂,虽然最后找出来了,花了将近一个小时的时间,我先说说处理的方法,后面再说说改进的处理方法。

拓扑图
最上面的接入交换机是公司大网网络设备,某部门内部网络需要和公司大网连接在一起,用一台交换机做汇聚交换机接在公司内部大网设备下,最下面接入交换机分别从汇聚交换机接出。
在拓扑图中的网络都是同一个网段中的。

我先在汇聚交换机下联口做端口镜像,一个一个端口去抓取DHCP报文,最后在左边没有找到私起的DHCP服务器,然后在抓汇聚交换机上联口,发现有私起的DHCP报文,这就说明私起的DHCP服务器在右边,然后我又到右边用同样的方法抓,最后找到了。在接入交换机口起dhcp snooping功能。

我当时处理的思路非常乱,毫无逻辑。说说改进措施。在上面的方法上改进,获取错误IP地址的用户在左边,所以在左边汇聚上联口抓取DHCP报文。如果抓取不到,说明私起的DHCP服务器在汇聚交换机下面,一层一层的抓取,找到后复制出私起DHCP服务器的MAC地址,在交换机上查MAC地址表,是从哪个端口上面学到的,一层一层的查MAC地址表,找到相应端口启用dhcp snooping功能,然后全网配置dhcp snooping功能。

但是这个方法还不是最好的处理方法,处理流程还是太过复杂。我在用户的电脑上抓包,这样肯定可以抓取DHCP报文,找出私起的DHCP服务器MAC地址,就可以在最上面的接入交换机一层一层查MAC找到,然后配置dhcp snooping功能。

还有一种方法就是不用抓包就可以找到,在cmd中查看ipconfig/all里面有个DHCP服务器地址,我们ping这个地址然后在cmd里面arp -a查看DHCP服务器对应的MAC地址就可以在最上面的接入交换机上面查MAC地址表了,然后拉出去打一顿。

以上就是今天处理私起DHCP服务器的心得了。

Add a Comment

您的电子邮箱地址不会被公开。