2013年4月20日 星期六

找出不屬於原本區域網路內並作亂的 DHCP Server (Find Rogue DHCP Server in LAN network)

以前朋友說過「要搞死一個MIS很容易,放台有 DHCP 開啟的 IP 分享器,接上公司網路並藏起來,MIS整天下來就會爆炸了。」,這句話沒實際遇過的人一定很難理解,遇過的人或許在這篇文章面前正在點頭如搗蒜吧 (笑)。然而...能讓 MIS 忙翻天的事情很多,Server 連線很慢、SQL 連接不到、PC 中毒之類的問題可說是每日的日常 (茶)。最恐怖的案例應該不少 MIS 都遇過,就是 "網路全面癱瘓" !!
假設公司內部有 40 人,只有 1 - 2 台 PC 網路異常,這樣的狀況可以歸類為「個案因素」。另外一種如同瘟疫一般開始慢慢蔓延的...就是本文要說明的 "DHCP廣播風暴 (DHCP Broadcast Storm)"。為什麼會發生這種現象?根據筆者經驗看來,原因不外乎:
  • 客戶/員工自己帶 Wireless AP 來接多數中小企業並沒有專職的 MIS,因此不知道 Wireless AP 一般都是有 Routing 功能的 IP 分享器,一插到公司網路就變成了一場慘劇。
  • 有人惡意的要搞 MIS
    就像我朋友一樣 (誤)。
  • MIS 佈署 DHCP NLB Cluster 時設定錯誤

好用的網路掃描器 – SoftPerfect ® Network Scanner
筆者常用的工具箱中,其中一個網路分析工具就是 SoftPerfect ® Network Scanner,此工具除了可以掃描整個網段的 LAN IP 以外,還有一個令人超級實用的功能 - 列出 LAN 中所有的 DHCP Server。

是採用 Portalbe 設計,完全不用安裝,只要接壓縮後即可使用。下載完畢並且解壓縮之後,根據作業系統的類型 (x86 或 x64) 執行目錄中唯一的 EXE 檔案,就可看到軟體界面。要找出 LAN 中所有的 DHCP來說,在軟體上方有一個按鈕 "Discover active DHCP Server":
image

接著 Network Scanner 就會列出目前 LAN 中可用的 DHCP Server (圖中為筆者家中的 DHCP Server)。多數環境來說 DHCP Server 只會有一台,NLB 叢集顯示的應該要為 Cluster IP。
image

現在筆者要模擬使用者的情境,直接將中華電信光世代送的 WIreless AP Don’t Link D-LINK WBR-2200 直接接到 LAN !! 經過偵測之後,恩...
image

這時候可以使用瀏覽器登入看看,一定機率可以知道在 LAN 中作亂的設備是什麼廠牌的,筆者在瀏覽器輸入 http://192.168.0.1 之後就看到了登入畫面:
 image

最後...開始獵殺設備吧!!! 找出來並丟到垃圾桶移除之後,DHCP Broadcast Storm 就可以排除了。

如何避免 DHCP Broadcast Storm
  • 建立規定進行管制
    以企業的全力進行管制。筆者看過企業用行文公告的方式貼在佈告欄上,並寫著「擅自攜帶 並使用USB 隨身碟或危害公司網路設備的員工一律開除!! 絕無二話!!」,所以...那家企業還真的是少見的不用 Windows AD + GPO 管理下,資訊環境就像上了 GPO 一樣規矩 (笑)。
  • 培養客戶/員工良好的知識
    跟客戶/員工說明 "要自行安裝無線 AP 之前先給 MIS 設定"。基本上可達到一定的效果,遇到個性很急的人就...
  • 使用支援 DHCP Snooping 的網管型交換器
    中階的網管型交換器大多都支援此功能,可限制 DHCP Server 的封包只能從指定的連接埠通過,還可以紀錄是從哪一個連接埠發出的。如需要更多相關資訊,可至各大廠牌的官網看看相關交換器( P.S 覺得太麻煩也可直接連絡筆者進行業務合作(笑)~)
後記
「樹多必有枯枝,人多必有白癡」在實際遇到這個案例時,MIS 絕對會用力點頭認同這句話。