請問有關DHCP的問題..



贊助商連結


csjh20938
2010-11-29, 01:39 PM
如果同一區網內有兩個DHCP伺服器時,會出現什麼問題呢?

是不是會有同一台電腦同時收到兩個IP?還是...??

那這樣的問題會不會被網路攻擊者有發揮空間啊?

又該如何避免或解決?

贊助商連結


門神
2010-11-29, 03:35 PM
有攻擊的空間

1.不花錢,每台自定IP,綁死ARP
2.花一點點錢,vLan切開
3.花多一點錢,L2 Switch設定只信任某Port的DHCP Server
4.花更多的錢,建置L3/L4的Core Switch

FYI
2010-11-29, 03:39 PM
如果同一區網內有兩個DHCP伺服器時,會出現什麼問題呢?

是不是會有同一台電腦同時收到兩個IP?
DHCP 交握過程並非只有一個來回, 所以除非客戶端刻意對於每個DHCP Server 都有回應, 否則不會收到兩個IP, 一般來說原則上是 "先佔先贏", 也就是先回覆的DHCP Server 通常就會先取得客戶端的注意, 據說Windows DHCP Server 反應會比分享器內建的DHCP Server 來得快, 這也就會給有心人士一個可趁之機, 例如MITM

不小心幫你把作業完成, 希望你還是自行融會貫通

Dynamic Host Configuration Protocol - Wikipedia, the free encyclopedia - Security (http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Security)

lenbo
2010-11-29, 10:02 PM
DHCP 交握過程並非只有一個來回, 所以除非客戶端刻意對於每個DHCP Server 都有回應, 否則不會收到兩個IP, 一般來說原則上是 "先佔先贏", 也就是先回覆的DHCP Server 通常就會先取得客戶端的注意, 據說Windows DHCP Server 反應會比分享器內建的DHCP Server 來得快, 這也就會給有心人士一個可趁之機, 例如MITM

不小心幫你把作業完成, 希望你還是自行融會貫通

Dynamic Host Configuration Protocol - Wikipedia, the free encyclopedia - Security (http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Security)

請問一下,如果兩台 DHCP Server 剛好設定派發的 IP range 相同的話…
會不會當 DHCP 1 發出 192.168.0.100 給 PC1 後,
DHCP 2 還會再發出 192.168.0.100 給 PC2 造成衝突?

FYI
2010-11-29, 10:42 PM
請問一下,如果兩台 DHCP Server 剛好設定派發的 IP range 相同的話…
會不會當 DHCP 1 發出 192.168.0.100 給 PC1 後,
DHCP 2 還會再發出 192.168.0.100 給 PC2 造成衝突?
Yes and No. 如果某個DHCP Server (例如Windows 2003) 老是搶著當家的話, 那麼DHCP 2 通常也都會被Client 忽略, 此外因為DHCP 2 老是收不到Ack, 所以其實一個IP 也沒發出去, 詳細原理請看Wikipedia

實務上某些情況下可以有兩個DHCP Server, 例如Wireless Bridge, Bridged Repeater, 但前提是網管很清楚IP 配發範圍

rushoun
2010-11-30, 03:51 PM
這問題實在是碰過很多次,不知道有人故意的還是不小心的,總是導致社區區網住戶的電腦不能上網。
社區住戶電腦反正會自己會抓一個IP分享器配發的,奇怪的是,通常都是抓到那個有問題不能上網的。
然後就有人要很忙,帶筆電到地下室機房抓兇手。

RouterOS
2010-11-30, 06:41 PM
這問題實在是碰過很多次,不知道有人故意的還是不小心的,總是導致社區區網住戶的電腦不能上網。
社區住戶電腦反正會自己會抓一個IP分享器配發的,奇怪的是,通常都是抓到那個有問題不能上網的。
然後就有人要很忙,帶筆電到地下室機房抓兇手。

何不做個PPPOE-SERVER , 不用老是碰到這種問題.

rushoun
2010-11-30, 07:51 PM
何不做個PPPOE-SERVER , 不用老是碰到這種問題.

沒做過這玩意兒,只是順便問一下先。
是不是架好PPPOE-SERVER之後,每個區網端的user,都好像是用ADSL的pppoe撥接上網的意思?
那是不是每個user都要發帳號密碼,或是也能用同一個帳號密碼?
那user端windows的上網設定,是不是就要跟ADSL的pppoe撥接上網一樣,多設定一個pppoe的網路連線。
這樣或許解決DHCP干擾問題,卻多了user端可能不是每個人都會設定的問題發生,只怕問題(指管理上)又更複雜了。

門神
2010-11-30, 09:01 PM
何不做個PPPOE-SERVER , 不用老是碰到這種問題.

如果User為了開機快
又自定了IP,又重覆了
或是169.254.x.x又都可以互通了
SCAN一下又可以玩玩網路剪刀手
然後IP分享器又回串
又開始發起IP了

:king:

RouterOS
2010-11-30, 09:07 PM
沒做過這玩意兒,只是順便問一下先。
是不是架好PPPOE-SERVER之後,每個區網端的user,都好像是用ADSL的pppoe撥接上網的意思?
YES


那是不是每個user都要發帳號密碼,或是也能用同一個帳號密碼?
不一定,看設備功能支持.



這樣或許解決DHCP干擾問題,卻多了user端可能不是每個人都會設定的問題發生,只怕問題(指管理上)又更複雜了。
DHCP+PPPOE-SERVER 可以同時存在.