csjh20938
2010-11-29, 01:39 PM
如果同一區網內有兩個DHCP伺服器時,會出現什麼問題呢?
是不是會有同一台電腦同時收到兩個IP?還是...??
那這樣的問題會不會被網路攻擊者有發揮空間啊?
又該如何避免或解決?
贊助商連結
是不是會有同一台電腦同時收到兩個IP?還是...??
那這樣的問題會不會被網路攻擊者有發揮空間啊?
又該如何避免或解決?
贊助商連結
贊助商連結 csjh20938 2010-11-29, 01:39 PM 如果同一區網內有兩個DHCP伺服器時,會出現什麼問題呢? 是不是會有同一台電腦同時收到兩個IP?還是...?? 那這樣的問題會不會被網路攻擊者有發揮空間啊? 又該如何避免或解決? 贊助商連結 門神 2010-11-29, 03:35 PM 有攻擊的空間 1.不花錢,每台自定IP,綁死ARP 2.花一點點錢,vLan切開 3.花多一點錢,L2 Switch設定只信任某Port的DHCP Server 4.花更多的錢,建置L3/L4的Core Switch FYI 2010-11-29, 03:39 PM 如果同一區網內有兩個DHCP伺服器時,會出現什麼問題呢? 是不是會有同一台電腦同時收到兩個IP? DHCP 交握過程並非只有一個來回, 所以除非客戶端刻意對於每個DHCP Server 都有回應, 否則不會收到兩個IP, 一般來說原則上是 "先佔先贏", 也就是先回覆的DHCP Server 通常就會先取得客戶端的注意, 據說Windows DHCP Server 反應會比分享器內建的DHCP Server 來得快, 這也就會給有心人士一個可趁之機, 例如MITM 不小心幫你把作業完成, 希望你還是自行融會貫通 Dynamic Host Configuration Protocol - Wikipedia, the free encyclopedia - Security (http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Security) lenbo 2010-11-29, 10:02 PM DHCP 交握過程並非只有一個來回, 所以除非客戶端刻意對於每個DHCP Server 都有回應, 否則不會收到兩個IP, 一般來說原則上是 "先佔先贏", 也就是先回覆的DHCP Server 通常就會先取得客戶端的注意, 據說Windows DHCP Server 反應會比分享器內建的DHCP Server 來得快, 這也就會給有心人士一個可趁之機, 例如MITM 不小心幫你把作業完成, 希望你還是自行融會貫通 Dynamic Host Configuration Protocol - Wikipedia, the free encyclopedia - Security (http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Security) 請問一下,如果兩台 DHCP Server 剛好設定派發的 IP range 相同的話… 會不會當 DHCP 1 發出 192.168.0.100 給 PC1 後, DHCP 2 還會再發出 192.168.0.100 給 PC2 造成衝突? FYI 2010-11-29, 10:42 PM 請問一下,如果兩台 DHCP Server 剛好設定派發的 IP range 相同的話… 會不會當 DHCP 1 發出 192.168.0.100 給 PC1 後, DHCP 2 還會再發出 192.168.0.100 給 PC2 造成衝突? Yes and No. 如果某個DHCP Server (例如Windows 2003) 老是搶著當家的話, 那麼DHCP 2 通常也都會被Client 忽略, 此外因為DHCP 2 老是收不到Ack, 所以其實一個IP 也沒發出去, 詳細原理請看Wikipedia 實務上某些情況下可以有兩個DHCP Server, 例如Wireless Bridge, Bridged Repeater, 但前提是網管很清楚IP 配發範圍 rushoun 2010-11-30, 03:51 PM 這問題實在是碰過很多次,不知道有人故意的還是不小心的,總是導致社區區網住戶的電腦不能上網。 社區住戶電腦反正會自己會抓一個IP分享器配發的,奇怪的是,通常都是抓到那個有問題不能上網的。 然後就有人要很忙,帶筆電到地下室機房抓兇手。 RouterOS 2010-11-30, 06:41 PM 這問題實在是碰過很多次,不知道有人故意的還是不小心的,總是導致社區區網住戶的電腦不能上網。 社區住戶電腦反正會自己會抓一個IP分享器配發的,奇怪的是,通常都是抓到那個有問題不能上網的。 然後就有人要很忙,帶筆電到地下室機房抓兇手。 何不做個PPPOE-SERVER , 不用老是碰到這種問題. rushoun 2010-11-30, 07:51 PM 何不做個PPPOE-SERVER , 不用老是碰到這種問題. 沒做過這玩意兒,只是順便問一下先。 是不是架好PPPOE-SERVER之後,每個區網端的user,都好像是用ADSL的pppoe撥接上網的意思? 那是不是每個user都要發帳號密碼,或是也能用同一個帳號密碼? 那user端windows的上網設定,是不是就要跟ADSL的pppoe撥接上網一樣,多設定一個pppoe的網路連線。 這樣或許解決DHCP干擾問題,卻多了user端可能不是每個人都會設定的問題發生,只怕問題(指管理上)又更複雜了。 門神 2010-11-30, 09:01 PM 何不做個PPPOE-SERVER , 不用老是碰到這種問題. 如果User為了開機快 又自定了IP,又重覆了 或是169.254.x.x又都可以互通了 SCAN一下又可以玩玩網路剪刀手 然後IP分享器又回串 又開始發起IP了 :king: RouterOS 2010-11-30, 09:07 PM 沒做過這玩意兒,只是順便問一下先。 是不是架好PPPOE-SERVER之後,每個區網端的user,都好像是用ADSL的pppoe撥接上網的意思? YES 那是不是每個user都要發帳號密碼,或是也能用同一個帳號密碼? 不一定,看設備功能支持. 這樣或許解決DHCP干擾問題,卻多了user端可能不是每個人都會設定的問題發生,只怕問題(指管理上)又更複雜了。 DHCP+PPPOE-SERVER 可以同時存在. |
|