騰科網絡離奇遭劫持冒牌DHCP服務器是元兇

發布時間： 2019-09-24 16:35:13

　　騰科網絡離奇遭劫持冒牌DHCP服務器是元兇

　　大到連接數億臺主機的互聯網，小到只有幾臺桌面終端的公司局域網，都是架構在 TCP/IP協議基礎上的網絡，于是，每一臺接入的設備都必須有一個 IP 地址。也就是說，要為接入設備正確地設置IP 地址、子網掩碼、網關和域名解析服務器等參數之后才能連通網絡。
　　在網絡知識方面，大部分人都是小白，要他們進行這么復雜的操作，真是太難為寶寶了。于是，網絡的設計者們發明了一個叫DHCP的協議，允許網絡中有一臺DHCP服務器，自動為每一位接入網絡的小白——確切地說，為小白的電腦分配IP地址。是不是很方便？
　　9月12日上午8點半左右，廣州騰科的網絡培訓老師李廣發現自己無法上網。網絡的問題，對于通過華為HCIE高級認證的李廣老師來說，并不是一件難事。他通過分析網絡數據包發現，公司局域網內多出一臺DHCP服務器，IP地址是192.168.1.1，與正牌的DHCP服務器沖突。一時半會兒，李廣老師沒能分析出這臺冒牌DHCP服務器能搶占正牌DHCP服務器風頭的原因，也沒有找到是誰這么膽大妄為，敢在光天化日之下癱瘓了公司半壁網絡。這個人是有意攻擊，還是無意中做了一件蠢事，也不得而知。
　　李廣老師問坐在對面的一位同事：是不是在搭建VMware虛擬機？對面的同事回答說沒有權限，也沒有做什么試驗。09：25左右，李廣老師仍然沒有定位到始作俑的計算機的位置，便在公司工作微信群里問：“請問誰在vm的虛擬機做實驗DHCP橋接到公司網絡上了？”他還發布了VMware虛擬機的IP地址和MAC地址。唐總發消息回應道，怪不得我上不了網。老板上不了網，得盡快解決問題。網管吳宗庭也來找李廣老師，證實一件事情：公司內有一部分人可以上網，另一部分人無法上網。于是，兩個人一起查找原因。
　　經過分析查證，李廣老師找到了原因：公司的核心交換機對公司局域網絡內所有的DHCP服務器一視同仁，并不加以區分。一臺電腦開機后，便會在網絡內詢問：誰是DHCP服務器？正常情況下，局域網內只有一臺DHCP服務器，一切會工作正常。如今，又多出來一臺，而且，這一臺與新開機的電腦“離得更近”，所以，新開機的電腦對冒牌DHCP服務器深信不疑，還接受了冒牌 DHCP 服務器分配的 IP 地址等參數，導致它與公司網關不在同一網段，鏈路不通，最終無法上網。在冒牌 DHCP 開機前開機的電腦，是由正牌DHCP服務器授予的IP，不受影響，都可以正常上網。所以，公司網絡內，一部分人可以上網，一部分不可以上網。
　　問題找到了，啟動冒牌DHCP的人還沒有找到。李廣老師和吳宗庭越來越覺得，坐在對面的那位老師很可疑。于是，他們將所在辦公室的網絡切斷，將那位老師接入網絡的通道切斷。不巧的是，問題依然存在。
　　吳宗庭不死心，拔掉了為整排座位提供網絡接入的集線器的電源?？墒?，那臺討厭的冒牌DHCP服務器仍然存在。這樣一來，那位老師就清白了。因為，他的電腦已經從公司的網絡中隔離出來。

　　又過了一個多小時，他們突然想到公司還有無線網絡。于是，吳宗庭搬來梯子，把掛在墻上的無線AP取下來，斷了電。那一刻，冒牌DHCP服務器終于從公司網絡上徹底消失了。再次詢問坐在對面的那位老師：“張老師，你還能上網嗎？”

? 騰科網絡

　　坐在對面的張老師打開網絡連接，發現自己無法上網，固網和WiFi無線網都不通。李廣老師走過來查看張老師的虛擬網卡的MAC地址，赫然就是他們正在苦苦尋找的00:0c:29:6d:05:c9！張老師的電腦同時連著固網和無線網絡。

　　盡管將公司的半拉網絡中斷了兩個多小時，張老師不思反悔，還忿忿不平。他認為他只是在虛擬機內運行一個DHCP服務器，又不是直接在自己電腦的操作系統上啟動DHCP服務。而且，要是這樣的試驗就能癱瘓公司的網絡，那根本就是網絡的設置有問題。
　　公司30間教室的小網絡，分布在被交換機、路由器分割為十幾個網段內，十多年以來，經過N位“獸醫多了整死?！钡木W管和網絡工程師之手，早已變得盤根錯節，異常復雜。李廣老師意識到核心交換機肯定有防范這種攻擊的方法，簡單地要求張老師不要啟動DHCP服務器并不能解決問題。今后，可能還會有王老師、黃老師，甚至是騰科培訓課堂內的學員要做類似的試驗。
　　李廣老師翻閱核心交換機的資料文檔，終于找到解決方案：只需要在核心交換機上將真正的DHCP服務器設為“可信的DHCP服務器”即可。其他的沒有這個標識的DHCP服務器，一概不予理睬。于是，這個潛伏很深的網絡配置問題，在追捕冒牌 DHCP 服務器的過程中，順利地得以解決。

您可能也喜歡：