Tidak ada internet setelah sewa dhcp diperbarui

10

Hari ini kami memiliki sejumlah mesin yang berhenti mendapatkan akses internet. Setelah banyak pemecahan masalah, utas umum adalah bahwa mereka semua memiliki sewa dhcp mereka diperbarui hari ini (kami sedang sewa 8 hari di sini).

Segala sesuatu yang Anda harapkan terlihat bagus setelah perpanjangan sewa: mereka memiliki alamat IP yang valid, server dns, dan gateway. Mereka memiliki akses ke sumber daya internal (berbagi file, intranet, printer, dll). Pemecahan masalah sedikit lebih mengungkapkan mereka tidak dapat melakukan ping atau tracert ke gateway kami, tetapi mereka bisa sampai ke switch layer3 inti kami tepat di depan gateway. Menetapkan IP statis ke mesin berfungsi sebagai solusi sementara.

Satu kerutan terakhir adalah bahwa sejauh ini hanya ada laporan untuk klien pada vlan yang sama dengan gateway. Staf administrasi dan fakultas kami berada di vlan yang sama dengan server dan printer, tetapi telepon, fob / kamera utama, siswa / wifi, dan laboratorium masing-masing memiliki vlan sendiri dan sejauh yang saya lihat tidak ada pada vlan lain belum memiliki masalah.

Saya memiliki tiket terpisah dengan vendor gateway, tetapi saya curiga mereka akan mengambilnya dengan mudah dan memberi tahu saya masalahnya ada di tempat lain di jaringan, jadi saya juga bertanya di sini. Saya telah membersihkan cache arp pada gateway dan switch inti. Ada ide yang menyambut.

Pembaruan:
Saya mencoba melakukan ping dari gateway kembali ke beberapa host yang terpengaruh, dan anehnya saya memang mendapat respons: dari alamat IP yang sama sekali berbeda. Saya mencoba beberapa lagi secara acak dan akhirnya mendapatkan ini:

02 Sep 2011 2011 13:08:51 GMT-0500 (Waktu Siang Tengah)
PING 10.1.1.97 (10.1.1.97) 56 (84) byte data.
64 byte dari 10.1.1.105: icmp_seq = 1 ttl = 255 waktu = 1,35 ms
64 byte dari 10.1.1.97: icmp_seq = 1 ttl = 255 waktu = 39.9 ms (DUP!)

10.1.1.97 adalah target sebenarnya dari ping. 10.1.1.105 seharusnya merupakan printer di gedung lain. Saya belum pernah melihat DUP dalam respons ping sebelumnya.

Tebakan terbaik saya saat ini adalah router wifi jahat di salah satu kamar asrama kami di subnet 10.1.1.0/24 dengan gateway yang buruk.

... berlanjut. Saya sekarang telah mematikan printer yang menyinggung, dan ping ke host yang terkena dampak dari gateway gagal sepenuhnya.

Pembaruan 2:
Saya memeriksa tabel arp di mesin yang terpengaruh, gateway, dan setiap sakelar di antara mereka. Pada setiap titik, entri untuk perangkat itu semuanya benar. Saya tidak memverifikasi setiap entri dalam tabel, tetapi setiap entri yang mungkin dapat memengaruhi lalu lintas antara host dan gateway baik-baik saja. ARP bukan masalahnya.

Pembaruan 3:
Banyak hal sedang berjalan saat ini, tetapi saya tidak dapat melihat apa pun yang saya lakukan untuk memperbaikinya, jadi saya tidak tahu apakah ini hanya jeda sementara. Lagi pula, tidak banyak yang bisa saya lakukan untuk mendiagnosis atau memecahkan masalah sekarang, tetapi saya akan memperbarui lebih banyak jika rusak lagi.

Joel Coel
sumber
Ping bekerja ke gateway mereka? Apakah server DNS yang dikonfigurasi pada subnet yang sama, atau di tempat lain? Resolusi DNS berfungsi?
Shane Madden
@Shane, semua yang bekerja, dan dijawab dalam teks
Joel Coel
Anda mengatakan "tidak dapat melakukan ping atau tracert ke gateway kami" - apakah itu gateway hop pertama perangkat, atau router internet yang lalu lintasnya dialihkan setelah dialihkan oleh perangkat hop pertama yang berbeda?
Shane Madden
2
Saya akan menjalankan penangkapan paket pada salah satu klien dan kemudian ping dan lacak rute ke gateway. Lihat alamat MAC mana yang muncul dalam tangkapan untuk alamat ip mana dan juga cari pengalihan ICMP. Saya juga akan melihat dari dekat tabel ARP pada salah satu klien, saklar, dan gateway dan memastikan mereka terlihat benar.
joeqwerty
1
Untuk memperjelas: Anda mengatakan bahwa gateway memiliki ARP yang valid untuk host yang terpengaruh, dan host memiliki ARP yang valid kembali ke gateway, tetapi gateway tidak mendapatkan balasan ketika mencoba untuk melakukan ping host? Apakah paket ping menuju ke perangkat, atau tidak diaktifkan dengan benar?
Shane Madden

Jawaban:

3

"Tebakan terbaik saya saat ini adalah router wifi jahat di salah satu kamar asrama kami di subnet 10.1.1.0/24 dengan gateway yang buruk."

Ini terjadi di kantor saya. Perangkat yang menyinggung itu ternyata merupakan perangkat android jahat:

http://code.google.com/p/android/issues/detail?id=11236

Jika perangkat android mendapatkan IP gateway dari jaringan lain melalui DHCP, itu mungkin bergabung dengan jaringan Anda dan mulai menanggapi permintaan ARP untuk IP gateway dengan MAC-nya. Penggunaan Anda atas jaringan 10.1.1.0/24 yang umum meningkatkan kemungkinan skenario jahat ini.

Saya dapat memeriksa cache ARP pada workstation yang terpengaruh pada jaringan. Di sana, saya mengamati masalah fluks ARP di mana workstation akan flip-flop antara MAC yang benar dan alamat MAC dari beberapa perangkat jahat. Ketika saya mencari MAC yang mencurigakan yang dimiliki workstation untuk gateway, ia kembali dengan awalan Samsung. Pengguna yang cerdik dengan workstation bermasalah menjawab bahwa ia tahu siapa yang memiliki perangkat Samsung di jaringan kami. Ternyata menjadi CEO.

dmourati
sumber
2

Seperti yang sudah dibahas di bagian komentar mendapatkan paket capture sangat penting. Namun ada juga alat yang sangat hebat yang disebut arpwatch:

http://ee.lbl.gov/

(atau http://sid.rstack.org/arp-sk/ untuk windows)

Alat ini akan mengirim email kepada Anda atau hanya menyimpan log dari semua Alamat MAC baru yang terlihat di jaringan serta setiap perubahan untuk alamat MAC untuk IP pada subnet yang diberikan (sandal jepit). Untuk masalah ini, Anda dapat mendeteksi kedua teori saat ini dengan melaporkan bahwa ada flip-flop yang terjadi untuk IP yang mengubah MAC, atau Anda akan melihat MAC baru untuk router DHCP jahat ketika pertama kali berkomunikasi dengan host. Sisi buruk dari alat ini adalah Anda harus memiliki host yang terhubung ke semua jaringan yang Anda pantau, tetapi itu adalah harga yang kecil untuk informasi hebat yang dapat disediakan untuk membantu mendiagnosis masalah-masalah seperti ini.

jumlahnya banyak
sumber
1

Cara cepat dalam mendeteksi server DHCP tipuan yang biasa adalah dengan melakukan ping gateway yang dilayaninya dan kemudian memeriksa MAC-nya di tabel ARP yang sesuai. Jika infrastruktur switching adalah yang dikelola, maka MAC juga dapat dilacak ke port yang menampungnya dan port tersebut dapat dimatikan atau dilacak kembali ke lokasi perangkat yang melanggar untuk pemulihan lebih lanjut.

Penggunaan DHCP Snooping pada switch yang mendukungnya juga dapat menjadi opsi yang efektif dalam melindungi jaringan dari server DHCP yang jahat juga.

pengguna48838
sumber