公司有人私接路由器并开了 DHCP 影响正式的 DHCP 服务分配 IP，人比较多， 100 多号人，怎么查比较高效？谢谢

抓包能看到响应 DHCP 广播请求的服务器 IP，找到 IP 再找设备，如果交换机带网管，至少能查到端口

另: 曾经二层 VPN 桥配置错误导致数百公里外的另一个 DHCP 服务器污染了办公内网
还好延迟能看出来不在同一个地方。。。

找 DHCP 啊

1,看找事 DHCP 的 IP 地址，然后看 ARP 记录对应的 Mac 地址
2,交换机找到该 Mac 的端口，直接拔线

上企业级三层交换，将所有客户端的端口设为 DHCP untrusted。这种攻击对于三层交换机处理起来都是小菜一碟。不仅会过滤而且还会记录具体哪个端口发的包的日志。

比如 Juniper 对此的文档介绍：
https://www.juniper.net/documentation/en_US/junos/topics/example/port-security-protect-from-rogue-dhcp-servers.html

@dndx ipv6 普及在即，建议上三层交换真的合适么？

@s82kd92l 别的不知道，JunOS 早都支持 IPv6 Router Advertisement Guard 和 DHCPv6 Snooping 了所以就算 IPv6 环境下也可以防范类似攻击。

普通环境就有点搞了。如果中间再经过 N 个交换机。。。
首先去获得流氓 dhcp 的网关 mac，根据 mac 去搜索是什么厂家的。然后去网关上查找类似 mac 的 ip 通常都是最后一位有变化。然后如果是 linux 网关，可以用 iptables 或者 arp -s 来强制让这个 mac 地址不能上网，让对方来找你，但是这样无法解决 dhcp 分配错乱虽然用 ebtables 可以隔离非法 dhcp。
拔线法，网关通过 ping ip 逐个拔线，来确定在哪个未端，然后去顺藤摸瓜，说不定通过 wifi 连接管理器在附近能找到一个类似 mac 发出的 wifi 信号，通过走动判断信号强度来找到，再不行发动群众关系，群众不揭露直接拔线全体罚款。。。

上次遇见过一个，好在管理员密码是默认的，上去关了 dhcp 然后重启就了

@datocp 私接路由上 WAN 和 LAN 口的 MAC 地址都是不同的，你的方法大概率找不出肇事者。

一般会搞得影响上级路由多半是 LAN 和 WAN 混接了，逐级的 MTU VLAN 对这种问题简单有效。


无管理功能的网络设备较难处理该问题，不妨试试获取问题 IP 再用默认管理员密码登陆肇事路由设备吧。

在你们的接入交换机上设置 DHCP SNOOPING，上连口设置为 trust，只允许信任的接口有 dhcp server

可以找个电脑临时装个 爱快 高恪之类的软路由，里面都有 dhcp 检测

全体开个会, 告知大家有人私接路由器, 并说从这个月开始实行以下 3 点规则
1, 如果没人承认, 那么直到有人承认为止全公司每人每月扣 500 元
2, 如果有人承认了并且确实是他的话, 这月扣 300 元并警告
3, 如果有人检举揭发成功, 被检举人这月扣 1000 元并警告, 检举人匿名获得 500 元奖励

不知道几天内出效果?

@itzamana 这个做法有点激进啊，应该会有不少人辞职吧

@itzamana 无故克扣工资，仲裁见
谁不辞职谁傻

抓包吧。
不过很好奇是怎么影响的，那人插 lan 口应该网关 ip 冲突了才对吧。 如果没冲突那就是改了路由器 IP，可以定性为恶意的了

@itzamana 小破网管能有这权力的公司不多，多半是毫无地位的底层技术员，出了问题只能亲自去解决，解决不好还得被领导骂，最后被扣工资的那个人很有可能是这个网管

100 多号人不多啊，吼一声不行？

arp -a
可以找到肇事者的 MAC 地址

如果是路由器当交换机用，也就是说都接 lan 口，怕是不好办吧，100 多台电脑在下班后粗略看一下有没有接设备花不了多少时间