Sem internet depois que o dhcp lease renova

Navegue suas respostas
10

Hoje, várias máquinas pararam de acessar a Internet. Depois de um monte de solução de problemas, o ponto comum é que todos eles tiveram seu contrato de locação de dhcp renovado hoje (estamos em 8 dias de arrendamento aqui).

Tudo o que você esperaria fica bem após a renovação da concessão: eles têm um endereço IP, um servidor dns e um gateway válidos. Eles têm acesso a recursos internos (compartilhamentos de arquivos, intranet, impressoras, etc). Um pouco mais de solução de problemas revela que eles não são capazes de fazer ping ou rastrear o nosso gateway, mas eles podem chegar ao nosso switch core layer3 bem na frente do gateway. Atribuir um IP estático à máquina funciona como uma solução temporária.

Uma última ruga é que, até o momento, os relatórios só chegaram para os clientes na mesma vlan que o gateway. Nossa equipe administrativa e professores estão na mesma vlan que os servidores e impressoras, mas telefones, chaveiros / câmeras, alunos / wifi e laboratórios têm suas próprias vlans e, até onde eu não vi nada em nenhuma das outras vlans teve um problema ainda.

Eu tenho um ticket separado com o fornecedor do gateway, mas eu suspeito que eles vão sair e me dizer que o problema está em outro lugar na rede, então estou perguntando aqui também. Eu limpei caches arp no gateway e no switch core. Qualquer idéia é bem vinda.

Atualização:
Tentei fazer o ping do gateway de volta para alguns hosts afetados, e o mais estranho é que recebi uma resposta: de um endereço IP completamente diferente. Eu tentei mais alguns aleatoriamente e, eventualmente, consegui isso: 

Fri Sep 02 2011 13:08:51 GMT-0500 (Central Daylight Time)
PING 10.1.1.97 (10.1.1.97) 56(84) bytes of data.
64 bytes from 10.1.1.105: icmp_seq=1 ttl=255 time=1.35 ms
64 bytes from 10.1.1.97: icmp_seq=1 ttl=255 time=39.9 ms (DUP!)

10.1.1.97 é o alvo real pretendido do ping. 10.1.1.105 é suposto ser uma impressora em outro prédio. Eu tenho nunca visto um DUP em uma resposta de ping antes.

Meu melhor palpite no momento é um roteador wifi desonesto em um de nossos dormitórios na sub-rede 10.1.1.0/24 com um gateway ruim.

... continua. Eu agora desliguei a impressora ofensiva, e pings para um host afetado do gateway simplesmente falham completamente.

Atualização 2:
Eu verifico as tabelas de arp em uma máquina afetada, o gateway e cada interruptor entre eles. Em cada ponto, as entradas para esses dispositivos estavam todas corretas. Não verifiquei todas as entradas na tabela, mas todas as entradas que poderiam impactar o tráfego entre o host e o gateway estavam corretas. ARP não é o problema.

Atualização 3:
As coisas estão funcionando no momento, mas não vejo nada que eu fiz para consertá-las e, portanto, não tenho idéia se isso pode ser apenas uma calmaria temporária. De qualquer forma, não há muito que eu possa fazer para diagnosticar ou solucionar problemas agora, mas atualizarei mais se ele quebrar novamente.

    
por Joel Coel 02.09.2011 / 20:00

3 respostas

3

"Meu melhor palpite no momento é um roteador wifi desonesto em um de nossos dormitórios na sub-rede 10.1.1.0/24 com um gateway ruim."

Isso aconteceu no meu escritório. O dispositivo ofensivo acabou por ser um dispositivo android desonesto:

link

Se o dispositivo Android obtiver o IP do gateway de outra rede via DHCP, ele poderá entrar em sua rede e começar a responder a solicitações ARP para o IP do gateway com seu MAC. Seu uso da rede comum 10.1.1.0/24 aumenta a probabilidade desse cenário nocivo.

Consegui verificar o cache do ARP em uma estação de trabalho afetada na rede. Lá, observei um problema de fluxo de ARP em que a estação de trabalho girava entre o MAC correto e um endereço MAC de algum dispositivo invasor. Quando eu olhei para o MAC suspeito que a estação de trabalho tinha para o gateway, ele voltou com um prefixo da Samsung. O usuário astuto com a estação de trabalho conturbada respondeu que sabia quem tinha um dispositivo Samsung em nossa rede. Acabou sendo o CEO.

    
por 03.09.2011 / 07:25
2

Como já foi discutido na seção de comentários, obter uma captura de pacotes é realmente crítico. No entanto, há também uma ótima ferramenta chamada arpwatch:

link

(ou link para windows)

Essa ferramenta enviará um e-mail para você ou apenas manterá um registro de todos os novos endereços MAC vistos na rede, bem como quaisquer alterações de endereços MAC para IPs em uma determinada sub-rede (flip-flops). Para este problema, você teria detectado as teorias atuais informando que havia flip-flops em funcionamento para IPs que estavam alterando os MACs ou se veria um novo MAC para o roteador DHCP invasor quando começou a se comunicar com os hosts. O lado negativo da ferramenta é que você precisa ter o host conectado a todas as redes que você monitora, mas é um pequeno preço pela grande informação que pode fornecer para ajudar a diagnosticar esses tipos de problemas.

    
por 03.09.2011 / 07:09
1

Uma maneira rápida de detectar os típicos servidores DHCP desonestos é fazer ping no gateway que ele exibe e examinar o seu MAC na tabela ARP correspondente. Se a infra-estrutura de comutação for gerenciada, o MAC também poderá ser rastreado até a porta que a hospeda e a porta poderá ser desligada ou rastreada até o local do dispositivo em questão para obter mais reparos.

O uso do DHCP Snooping em switches que o suportam também pode ser uma opção eficaz para proteger uma rede contra servidores DHCP não autorizados.

    
por 03.09.2011 / 11:56

Tags

Solicitações do Windows 7 UAC escaladas para sysadmins? Regras nginx diferentes baseadas no referenciador