Xin chào mọi người. Công ty mình vừa gặp một lỗi về DHCP xin thọ giáo mọi người:

Hệ thống mạng của mình có 1 con 3550 và một số 2950, chạy môi trường domain đồng nhất, có 1 DHCP riêng để cấp dải 192.168.x.*. Và trên 3550 đã ip helper đến địa chỉ của DHCP server. Tất cả client đều ở vlan1. Sáng nay tự nhiên các client đồng loạt nhận DHCP với IP lạ 192.168.y.* và default gateway là 192.168.y.2. Tuy nhiên, khi các client ping hoặc tracert 192.168.y.2 thì đều không được. Check arp trên các Switch thì không thấy có địa chỉ 192.168.y.*. Check DHCP server cũng vậy, vẫn chỉ có dải 192.168.x.* của mình. Hiện tượng này xảy ra khoảng 15 phút thì hết, mọi thứ lại trở bình thường. Cả trên Switch và DHCP server đều không có dấu vết gì của dải IP lạ 192.168.y.*.

Mọi người có ai đã gặp trường hợp này xin chỉ giúp với, hoặc có ai có cao kiến gì để tìm ra hoặc ngăn chặn nó không. Mong mọi người giúp đỡ.

Cám ơn rất nhiều

Hi ITMAN81
Admin ở cty ngoài bạn ra còn có ai nữa không?
Lúc máy trạm nhận IP lạ thig bạn có lên kiểm tra máy chủ ngay không?
Theo mình nghĩ có ai đó biết pass của server nên remote vào thôi.

Cám ơn bạn đã reply.
Công ty mình có 3 admin, cùng có mặt lúc đó, lúc client đang nhận IP lạ thì check server và switch vẫn không thấy gì. Password thì đặc biệt bảo mật, ko ai biết được.
Trong chuyện này mình cũng như bạn, cảm thấy rất lạ và vô lý.
Thế nên post lên đây, may ra có ai biết chăng. Hay là có phần mềm nào làm được việc đó nhỉ. Nếu thực như vậy thì việc tấn công từ bên trong quả thật đáng sợ.
Thanks once more time.

Một khả năng nữa là tại thời điểm xảy ra, ai đó (vô tình hay hữu ý) cài đặt 1 DHCP server trên mạng với DHCP scope là 192.168.y.*, default GW là 192.168.y.2. Và xui xẻo là DHCP server này response lại tất cả các DHCP request của các máy PCs trên mạng. Sau đó server này được "âm thầm" tắt đi khi thấy sự cố xảy ra ;-)

Cám ơn ciscomania.
Mình cũng nghĩ khả năng xảy ra như bạn ciscomania nói là rất lớn, nhưng như mình đã nói, mình không hiểu sao các client khi nhận IP lạ lại ko thể ping được 192.168.y.2, có khả năng nào dhcp server đó cấm được ping ko nhỉ, mà sao trong bảng ARP của các Switch cũng không có dấu vết gì nhỉ. Các bác có cách nào khắc phục được không hoặc là có cách nào detect ra một con DHCP lạ trong mạng của mình không?

Xin cám ơn

Simple personal fw on PC can also deny icmp packets

Using security scanner regurlaly to find out more information

Cám ơn ciscomania.
Mình cũng nghĩ khả năng xảy ra như bạn ciscomania nói là rất lớn, nhưng như mình đã nói, mình không hiểu sao các client khi nhận IP lạ lại ko thể ping được 192.168.y.2, có khả năng nào dhcp server đó cấm được ping ko nhỉ, mà sao trong bảng ARP của các Switch cũng không có dấu vết gì nhỉ. Các bác có cách nào khắc phục được không hoặc là có cách nào detect ra một con DHCP lạ trong mạng của mình không?

Xin cám ơn

Các switch Catalyst của Cisco có thể dùng tính năng DHCP snooping để khắc phục tình trạng bạn nêu. Khi bạn dùng DHCP snooping, các cổng của switch sẽ được phân loại là tin cậy (trusted) hay không tin cậy (untrusted). Các DHCP hợp lệ sẽ được cấu hình để trong trusted port, còn các port còn lại sẽ nằm trong untrusted port.

Switch sẽ kiểm tra tất cả các yêu cầu DHCP từ các port không tin cậy trước khi phát tán các yêu cầu này trên toàn VLAN. Bất kỳ thông điệp trả lời DHCP nào đến từ một port không tin cậy sẽ bị loại bỏ vì khả năng lớn là thông điệp này đến từ một server không tin cậy. Thêm vào đó, port chứa server này sẽ bị tự động shutdown, đưa về trạng thái errdisable.

Tính năng DHCP snooping cũng sẽ theo dõi các ràng buộc DHCP trước đó. Thông tin này bao gồm: địa chỉ MAC address của client, IP đã c61p, thời gian hiệu lực....

Cấu hình tính năng này như sau:

Bật tính năng:

Switch(config)# ip dhcp snooping

Chỉ ra VLAN sẽ dùng tính năng:

Switch(config)# ip dhcp snooping vlan vlan-id [vlan-id]

Chỉ ra port trust (là port gắ DHCP thật):

Switch(config)# interface type mod/num
Switch(config-if)# ip dhcp snooping trust

Đối với những switchport đc cấu hình untrusted, chỉ ra giới hạn DHCP request:


Switch(config)# interface type mod/num
Switch(config-if)# ip dhcp snooping limit rate rate

Ví dụ:

Example 17-4. DHCP Snooping Configuration
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 104
Switch(config)# interface range fastethernet 0/35 - 36
Switch(config-if)# ip dhcp snooping limit rate 3
Switch(config-if)# interface gigabitethernet 0/1
Switch(config-if)# ip dhcp snooping trust

Việc các PCs không ping được đến 192.168.y.2 cũng đơn giản thôi, vì địa chỉ GW này không nhất thiết phải là IP của DHCP server đã và đang cung cấp dịch vụ DHCP cho mạng LAN. Trong trường hợp của bạn, địa chỉ 192.168.y.2 chỉ đơn thuần là 1 địa chỉ không tồn tại. Đó cũng là lý do tại sao không có ARP entry nào trong switch liên quan đến IP này.

Còn chuyện cấm ping chỉ là chuyện nhỏ và tất cả các firewall (như Windows Firewall trong WinXP) đều có thể dễ dàng làm được chuyện này.