請問有關DHCP的問題..

csjh20938

如果同一區網內有兩個DHCP伺服器時，會出現什麼問題呢？

是不是會有同一台電腦同時收到兩個IP？還是...？？

那這樣的問題會不會被網路攻擊者有發揮空間啊？

又該如何避免或解決？

門神

有攻擊的空間

1.不花錢,每台自定IP,綁死ARP
2.花一點點錢,vLan切開
3.花多一點錢,L2 Switch設定只信任某Port的DHCP Server
4.花更多的錢,建置L3/L4的Core Switch

FYI

引用:

作者: csjh20938

如果同一區網內有兩個DHCP伺服器時，會出現什麼問題呢？

是不是會有同一台電腦同時收到兩個IP？

DHCP 交握過程並非只有一個來回, 所以除非客戶端刻意對於每個DHCP Server 都有回應, 否則不會收到兩個IP, 一般來說原則上是 "先佔先贏", 也就是先回覆的DHCP Server 通常就會先取得客戶端的注意, 據說Windows DHCP Server 反應會比分享器內建的DHCP Server 來得快, 這也就會給有心人士一個可趁之機, 例如MITM

不小心幫你把作業完成, 希望你還是自行融會貫通

Dynamic Host Configuration Protocol - Wikipedia, the free encyclopedia - Security

lenbo

引用:

作者: FYI

DHCP 交握過程並非只有一個來回, 所以除非客戶端刻意對於每個DHCP Server 都有回應, 否則不會收到兩個IP, 一般來說原則上是 "先佔先贏", 也就是先回覆的DHCP Server 通常就會先取得客戶端的注意, 據說Windows DHCP Server 反應會比分享器內建的DHCP Server 來得快, 這也就會給有心人士一個可趁之機, 例如MITM

不小心幫你把作業完成, 希望你還是自行融會貫通

Dynamic Host Configuration Protocol - Wikipedia, the free encyclopedia - Security

請問一下，如果兩台 DHCP Server 剛好設定派發的 IP range 相同的話…
會不會當 DHCP 1 發出 192.168.0.100 給 PC1 後，
DHCP 2 還會再發出 192.168.0.100 給 PC2 造成衝突？

FYI

引用:

作者: lenbo

請問一下，如果兩台 DHCP Server 剛好設定派發的 IP range 相同的話…
會不會當 DHCP 1 發出 192.168.0.100 給 PC1 後，
DHCP 2 還會再發出 192.168.0.100 給 PC2 造成衝突？

Yes and No. 如果某個DHCP Server (例如Windows 2003) 老是搶著當家的話, 那麼DHCP 2 通常也都會被Client 忽略, 此外因為DHCP 2 老是收不到Ack, 所以其實一個IP 也沒發出去, 詳細原理請看Wikipedia

實務上某些情況下可以有兩個DHCP Server, 例如Wireless Bridge, Bridged Repeater, 但前提是網管很清楚IP 配發範圍

rushoun

這問題實在是碰過很多次，不知道有人故意的還是不小心的，總是導致社區區網住戶的電腦不能上網。
社區住戶電腦反正會自己會抓一個IP分享器配發的，奇怪的是，通常都是抓到那個有問題不能上網的。
然後就有人要很忙，帶筆電到地下室機房抓兇手。

RouterOS

引用:

作者: rushoun

這問題實在是碰過很多次，不知道有人故意的還是不小心的，總是導致社區區網住戶的電腦不能上網。
社區住戶電腦反正會自己會抓一個IP分享器配發的，奇怪的是，通常都是抓到那個有問題不能上網的。
然後就有人要很忙，帶筆電到地下室機房抓兇手。

何不做個PPPOE-SERVER , 不用老是碰到這種問題.

rushoun

引用:

作者: RouterOS

何不做個PPPOE-SERVER , 不用老是碰到這種問題.

沒做過這玩意兒，只是順便問一下先。
是不是架好PPPOE-SERVER之後，每個區網端的user，都好像是用ADSL的pppoe撥接上網的意思?
那是不是每個user都要發帳號密碼，或是也能用同一個帳號密碼?
那user端windows的上網設定，是不是就要跟ADSL的pppoe撥接上網一樣，多設定一個pppoe的網路連線。
這樣或許解決DHCP干擾問題，卻多了user端可能不是每個人都會設定的問題發生，只怕問題(指管理上)又更複雜了。

門神

引用:

作者: RouterOS

何不做個PPPOE-SERVER , 不用老是碰到這種問題.

如果User為了開機快
又自定了IP,又重覆了
或是169.254.x.x又都可以互通了
SCAN一下又可以玩玩網路剪刀手
然後IP分享器又回串
又開始發起IP了

RouterOS

引用:

作者: rushoun

沒做過這玩意兒，只是順便問一下先。
是不是架好PPPOE-SERVER之後，每個區網端的user，都好像是用ADSL的pppoe撥接上網的意思?

YES

引用:

作者: rushoun

那是不是每個user都要發帳號密碼，或是也能用同一個帳號密碼?

不一定,看設備功能支持.

引用:

作者: rushoun

這樣或許解決DHCP干擾問題，卻多了user端可能不是每個人都會設定的問題發生，只怕問題(指管理上)又更複雜了。

DHCP+PPPOE-SERVER 可以同時存在.

csjh20938 會員	請問有關DHCP的問題.. 如果同一區網內有兩個DHCP伺服器時，會出現什麼問題呢？是不是會有同一台電腦同時收到兩個IP？還是...？？那這樣的問題會不會被網路攻擊者有發揮空間啊？又該如何避免或解決？
	回覆

門神 www.ublink.org	回覆: 請問有關DHCP的問題.. 有攻擊的空間 1.不花錢,每台自定IP,綁死ARP 2.花一點點錢,vLan切開 3.花多一點錢,L2 Switch設定只信任某Port的DHCP Server 4.花更多的錢,建置L3/L4的Core Switch
	回覆

rushoun 散人	回覆: 請問有關DHCP的問題.. 這問題實在是碰過很多次，不知道有人故意的還是不小心的，總是導致社區區網住戶的電腦不能上網。社區住戶電腦反正會自己會抓一個IP分享器配發的，奇怪的是，通常都是抓到那個有問題不能上網的。然後就有人要很忙，帶筆電到地下室機房抓兇手。
	回覆