找出讓 DHCP服務(wù)器癱瘓的兇手

前一段時(shí)間，總部的同事告訴我無線網(wǎng)不能用了，發(fā)現(xiàn)獲取不到IP了，登錄到DHCP服務(wù)器查看，發(fā)現(xiàn)DHCP服務(wù)器出故障了，具體的故障現(xiàn)象如下圖，出現(xiàn)大量bad_adddress迅速占滿DHCP的地址池。

然后他自己抓了一份數(shù)據(jù)包讓我也幫忙分析一下。

我過濾了DHCP，重點(diǎn)觀察了下它的DHCP包。發(fā)現(xiàn)出現(xiàn)大量的DHCP Decline數(shù)據(jù)包。

在這里可能有人很少聽說DHCP Decline，簡(jiǎn)單來說這個(gè)包的意思就是如果CLIENT發(fā)現(xiàn)DHCP SERVER分配的IP地址已經(jīng)被別人使用，則CLIENT會(huì)發(fā)出DHCP DECLINE報(bào)文通知DHCP SERVER禁用這個(gè)IP地址以免引起IP地址沖突，此時(shí)地址池就會(huì)顯示bad_address。

看來引起DHCP服務(wù)器癱瘓的原因就是這大量的Decline數(shù)據(jù)包了，現(xiàn)在要找到原因?yàn)槭裁磿?huì)出現(xiàn)這么多Decline。

在此我找到一個(gè)decline詳細(xì)的分析了一下它前后的數(shù)據(jù)包，發(fā)現(xiàn)了下圖的整個(gè)DHCP流程。

上圖前4個(gè)包為標(biāo)準(zhǔn)的DHCP 4步。

數(shù)據(jù)包序列號(hào)917 963 964 997：顯示clinet的mac為8b07（截圖看不到）。8B07通過DHCP獲取到了一個(gè)172.18.56.189的IP。

數(shù)據(jù)包1092為：8b07獲取到189這個(gè)IP后執(zhí)行了一次arp請(qǐng)求確認(rèn)189沒有人使用。

不過不巧的是數(shù)據(jù)包1173顯示：MAC地址為A053的終端說“不好意思，189這個(gè)IP我已經(jīng)用了”

此時(shí)數(shù)據(jù)包1178顯示：8B07認(rèn)為DHCP給我的這個(gè)IP172.16.56.189已經(jīng)被別人用了,于是給服務(wù)器發(fā)送Decline。

繼續(xù)分析下一個(gè)Decline原因，發(fā)現(xiàn)同樣8B07又獲取到了一個(gè)新IP 172.18.46.190。而同樣A053的終端又說172.18.46.190我已經(jīng)用了??！看來這個(gè)A053有大問題。于是重點(diǎn)過濾了A053出現(xiàn)了下圖的情況

上圖看來很明顯了8B07不管獲取到了哪個(gè)地址A053都會(huì)回復(fù)我在用了，導(dǎo)致8B07發(fā)送了大量Decline使DHCP服務(wù)器地址池很快耗盡癱瘓。

解決方法：果斷登錄AC控制器把A053這個(gè)MAC拉黑。所有問題一下子全部解決了。

后續(xù)：猜測(cè)A053這個(gè)主機(jī)是中了ARP中毒，小小的一個(gè)ARP病毒竟然有這么大的影響。安全這一步省了就可能出現(xiàn)×××煩，要想做到盡可能的安全AP AC 交換機(jī) 服務(wù)器等都需要盡可能的嚴(yán)密策略。以后的博文我們可以再詳細(xì)談?wù)劇?/p>