Új hozzászólás Aktív témák

• #14055 soma314 tag Flowtation #14054

  Új Válasz 2018-02-27 09:57:51 #14055

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  soma314

  tag

  válasz Flowtation #14054 üzenetére

  kezdjük elölről, hogy jól értem-e:

  mi volt pontosan a hibajelenség? (leirok egy lehetséges scenario-t) azt pontositsad, hogy ez volt-e

  eddig is rá volt dugva a switch az egyik "privát" vlan-es port-ra és azon a switch-en voltak számitógépek és egy AP. Nem változtattatok semmit, de azt tapasztaltad, hogy a számitógépek nem kapnak IP cmimet a DHCP szervertől. Viszont, ha átdugod a másik portba, akkor pár percig működik a DHCP szerver felöl a cimek kiadása aztán ismét leáll.
  Ez volt?

  Ha ez akkor továbbra is a következő két dolgot nézném meg: nincs layer 2-es hurok a switch-nél? vagy egyéb storm?
  Ezt egyszerűen meg tudod nézni egy windows-os számitógéppel, ami DHCP-n kérne IP cimet. Fontos, hogy ne statikus IP cim beállitása legyen.
  Kihúzod a mögöttes switch kábelét a Cisco-bül.
  A windows-os gépen elinditod a rendszermonitort és a hálózati terhelést nézed, majd rádugod a switch-ről érkező gépet a számitógépre. Ugye nem fog IP cimet kapni, hiszen nincs DHCP szerver, de kérni fog, ami beindit egy broadcast storm-ot egy hurkolt hálózaton.
  A rendszer monitoron látod, hogy a terhelés nagy, közel a 100%-hoz, akkor éppen egy storm-otok van.
  A Cisco eszköz, ha "bolondbiztosra" van konfigurálva, akkor bizony védekezik a storm-ok ellen és leállitja azt a portot, amin a storm érkezik, ezzel meggátolja annak tovább terjedését.

  Másik lehetőség, hogy valaki meg akarja hack-elni a hálózatotokat (akár véletlenül, akár szándékosan). Mivel emlitetted, hogy van egy AP is, igy szinte bárki rácsatlakozhat wifi-n a hálózatra és a hack-elést DHCP starving-gal kezdi, vagyis lekéri az összes rendelkezésre álló (alapban 253 host cimet) . Most nem mennék bele, hogy miért, de ez lehet egy támadás előkészítő lépése.
  Ez esetben ugye elfogynak a DHCP által kiosztható IP cimek.

  Harmadik lehetőség, hogy valaki egy DHCP szervert kötött a hálózatra nálatok. Ez lehet egy otthon-ról hozott wifi-s home router, de lehet egy éppen GNS3-al (rosszul) gyakorló diák is.
  Ha a Cisco eszköz jól van konfigurálva, akkor ez ellen védekezik, mert ez is lehet egy támadás előkészitése

  Mint látod van sok-sok variáció, amin akkor lehetne szűkiteni, ha a Cisco eszközhőz lehetne hozzáférni és lekérdezni, illetve, ha Wireshark-kal (vagy más programmal) tudsz adatforgalmat rögziteni, elemezni.
  Én elsőnek a következőt nézném meg:
  Lehúznám a kábelt, ami a "privat" port-jára van dugva a Cisco eszköznek. Majd rádugnék egy gépet, ami DHCP-n kér IP cimet. Ezt rögziteném és megnézném, hogy a DHCP DORA (Discovery, Offer, Request, Acknowladgement) szépen lement-e.

  Ha lement, akkor valószínűsítenem, hogy a hiba helyben lesz. Elinditva a rögzitést a gépet ezúttal annak a kábelnek a végére dugnám, amelyik menne a Cisco eszközbe.
  Rögzitenék egy kevés adatot (ha a gép bele nem fagy) majd megnézném, hogy mennyi a csomagokből az L2 Broadcast (ahol az L2 cimzett MAC cim az FFFF.FFFF.FFFF). Ez a teljes rögzített adatforgalomhoz képest kevés kell legyen.

  Viszont a legegyszerűbb, amit rögtön meg tudsz tenni, hogy megnézed, hogy a hibajelenség akkor is fennáll-e, ha az AP-ot lehúzzátok a hálózatról.

  Én nem ismerem a web-es felületet, pláne ennyiből nem tudok mit mondani. Mit értesz az alatt, hogy tudsz ping-elni és hogy jó a net? Mit pingeltél? ping 8.8.8.8 ? vagy ping www.google.com
  Az hogy jó a net azt jelenti, hogy a böngészőn meg tudsz nyitni egy weboldalt?
  A tanári gépre "csináltál net-et" mit jelent? Beállitottál rajta egy statikus IPv4 cimet?

  [ Szerkesztve ]

Új hozzászólás Aktív témák