您好,登錄后才能下訂單哦!
前一段時(shí)間,總部的同事告訴我無線網(wǎng)不能用了,發(fā)現(xiàn)獲取不到IP了,登錄到DHCP服務(wù)器查看,發(fā)現(xiàn)DHCP服務(wù)器出故障了,具體的故障現(xiàn)象如下圖,出現(xiàn)大量bad_adddress迅速占滿DHCP的地址池。
然后他自己抓了一份數(shù)據(jù)包讓我也幫忙分析一下。
我過濾了DHCP,重點(diǎn)觀察了下它的DHCP包。發(fā)現(xiàn)出現(xiàn)大量的DHCP Decline數(shù)據(jù)包。
在這里可能有人很少聽說DHCP Decline,簡(jiǎn)單來說這個(gè)包的意思就是如果CLIENT發(fā)現(xiàn)DHCP SERVER分配的IP地址已經(jīng)被別人使用,則CLIENT會(huì)發(fā)出DHCP DECLINE報(bào)文通知DHCP SERVER禁用這個(gè)IP地址以免引起IP地址沖突,此時(shí)地址池就會(huì)顯示bad_address。
看來引起DHCP服務(wù)器癱瘓的原因就是這大量的Decline數(shù)據(jù)包了,現(xiàn)在要找到原因?yàn)槭裁磿?huì)出現(xiàn)這么多Decline。
在此我找到一個(gè)decline詳細(xì)的分析了一下它前后的數(shù)據(jù)包,發(fā)現(xiàn)了下圖的整個(gè)DHCP流程。
上圖前4個(gè)包為標(biāo)準(zhǔn)的DHCP 4步。
數(shù)據(jù)包序列號(hào)917 963 964 997:顯示clinet的mac為8b07(截圖看不到)。8B07通過DHCP獲取到了一個(gè)172.18.56.189的IP。
數(shù)據(jù)包1092為:8b07獲取到189這個(gè)IP后執(zhí)行了一次arp請(qǐng)求確認(rèn)189沒有人使用。
不過不巧的是數(shù)據(jù)包1173顯示:MAC地址為A053的終端說“不好意思,189這個(gè)IP我已經(jīng)用了”
此時(shí)數(shù)據(jù)包1178顯示:8B07認(rèn)為DHCP給我的這個(gè)IP172.16.56.189已經(jīng)被別人用了,于是給服務(wù)器發(fā)送Decline。
繼續(xù)分析下一個(gè)Decline原因,發(fā)現(xiàn)同樣8B07又獲取到了一個(gè)新IP 172.18.46.190。而同樣A053的終端又說172.18.46.190我已經(jīng)用了??!看來這個(gè)A053有大問題。于是重點(diǎn)過濾了A053出現(xiàn)了下圖的情況
上圖看來很明顯了8B07不管獲取到了哪個(gè)地址A053都會(huì)回復(fù)我在用了,導(dǎo)致8B07發(fā)送了大量Decline使DHCP服務(wù)器地址池很快耗盡癱瘓。
解決方法:果斷登錄AC控制器把A053這個(gè)MAC拉黑。所有問題一下子全部解決了。
后續(xù):猜測(cè)A053這個(gè)主機(jī)是中了ARP中毒,小小的一個(gè)ARP病毒竟然有這么大的影響。安全這一步省了就可能出現(xiàn)×××煩,要想做到盡可能的安全AP AC 交換機(jī) 服務(wù)器等都需要盡可能的嚴(yán)密策略。以后的博文我們可以再詳細(xì)談?wù)劇?/p>
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。