公司有人私接路由器并开了 DHCP 影响正式的 DHCP 服务分配 IP，人比较多， 100 多号人，怎么查比较高效？谢谢

逐个 IP 禁网……禁一个 IP，好多人反馈说上不去网那就是这个 IP 在私自接咯。不知道 IP 是谁的，那就走实名制咯

抓包能看到响应 DHCP 广播请求的服务器 IP，找到 IP 再找设备，如果交换机带网管，至少能查到端口

另: 曾经二层 VPN 桥配置错误导致数百公里外的另一个 DHCP 服务器污染了办公内网
还好延迟能看出来不在同一个地方。。。

找 DHCP 啊

1,看找事 DHCP 的 IP 地址，然后看 ARP 记录对应的 Mac 地址
2,交换机找到该 Mac 的端口，直接拔线

上企业级三层交换，将所有客户端的端口设为 DHCP untrusted。这种攻击对于三层交换机处理起来都是小菜一碟。不仅会过滤而且还会记录具体哪个端口发的包的日志。

比如 Juniper 对此的文档介绍：
https://www.juniper.net/documentation/en_US/junos/topics/example/port-security-protect-from-rogue-dhcp-servers.html

@dndx ipv6 普及在即，建议上三层交换真的合适么？

@s82kd92l 别的不知道，JunOS 早都支持 IPv6 Router Advertisement Guard 和 DHCPv6 Snooping 了所以就算 IPv6 环境下也可以防范类似攻击。

普通环境就有点搞了。如果中间再经过 N 个交换机。。。
首先去获得流氓 dhcp 的网关 mac，根据 mac 去搜索是什么厂家的。然后去网关上查找类似 mac 的 ip 通常都是最后一位有变化。然后如果是 linux 网关，可以用 iptables 或者 arp -s 来强制让这个 mac 地址不能上网，让对方来找你，但是这样无法解决 dhcp 分配错乱虽然用 ebtables 可以隔离非法 dhcp。
拔线法，网关通过 ping ip 逐个拔线，来确定在哪个未端，然后去顺藤摸瓜，说不定通过 wifi 连接管理器在附近能找到一个类似 mac 发出的 wifi 信号，通过走动判断信号强度来找到，再不行发动群众关系，群众不揭露直接拔线全体罚款。。。

上次遇见过一个，好在管理员密码是默认的，上去关了 dhcp 然后重启就了

@datocp 私接路由上 WAN 和 LAN 口的 MAC 地址都是不同的，你的方法大概率找不出肇事者。

一般会搞得影响上级路由多半是 LAN 和 WAN 混接了，逐级的 MTU VLAN 对这种问题简单有效。


无管理功能的网络设备较难处理该问题，不妨试试获取问题 IP 再用默认管理员密码登陆肇事路由设备吧。

在你们的接入交换机上设置 DHCP SNOOPING，上连口设置为 trust，只允许信任的接口有 dhcp server

可以找个电脑临时装个 爱快 高恪之类的软路由，里面都有 dhcp 检测

全体开个会, 告知大家有人私接路由器, 并说从这个月开始实行以下 3 点规则
1, 如果没人承认, 那么直到有人承认为止全公司每人每月扣 500 元
2, 如果有人承认了并且确实是他的话, 这月扣 300 元并警告
3, 如果有人检举揭发成功, 被检举人这月扣 1000 元并警告, 检举人匿名获得 500 元奖励

不知道几天内出效果?

@itzamana 这个做法有点激进啊，应该会有不少人辞职吧

@itzamana 无故克扣工资，仲裁见
谁不辞职谁傻

抓包吧。
不过很好奇是怎么影响的，那人插 lan 口应该网关 ip 冲突了才对吧。 如果没冲突那就是改了路由器 IP，可以定性为恶意的了

@itzamana 小破网管能有这权力的公司不多，多半是毫无地位的底层技术员，出了问题只能亲自去解决，解决不好还得被领导骂，最后被扣工资的那个人很有可能是这个网管

100 多号人不多啊，吼一声不行？

arp -a
可以找到肇事者的 MAC 地址

如果是路由器当交换机用，也就是说都接 lan 口，怕是不好办吧，100 多台电脑在下班后粗略看一下有没有接设备花不了多少时间

不一定是路由器，很有可能是 vmware 之类的东西。路由器如果口没插错，wan 口不会响应 dhcp 请求的。
慢慢查吧

@dndx 我的意思是说 3 层路由器在转发时是用到 asic 来转发 IP 包，同时支持 v4/v6 难度比普通 cpu 路由系统大很多。如果 v6 普及了，原来很多旧的 3 层交换可能就只能当普通交换机用了。

去工位走一圈 直接看谁插了路由器 应该不是故意的 所以不会怎么藏
哈哈最后发现是老板办公室 老板嫌信号不好自己装了一个并且分不清 wan 口 lan 口

@s82kd92l 企业 natipv4 就够了用啥 V6

交换机上开启 DHCP SNOOP 功能，连接 DHCP SERVER 的接口配置成信任接口。
这样即使网络中存在其他非法的 DHCP SERVER，也不会影响到现网。

100 多个人，用眼睛看比较快。

直接看陌生无线信号最强的地方不是更直接吗

一劳永逸的方法：接入交换机配置 DHCP Snooping

既然已经被分配了错误的 ip，直接登录该网关 IP，密码一般不会改，默认密码即可，上去关掉 dhcp
即使密码不对，也可以知道型号,这时候行政手段比技术手段有效多了

办公群里吼一声啊

我这出现过类似情，有人接路由器时把线接到路由器的 LAN 上面了，结果导致电脑大面积出现网络异常（ DHCP 分配异常），不要费心去找什么方法了，人不多直接去找找就好

13 楼的处理方式可以说是很具有中国私企特色了，小老板随意鱼肉员工。

既然是路由器那就扫一下 80 端口嘛，很快就能筛选出来几个嫌疑 Ip，再看看 22 啊 53 啊什么的

13 楼的方法，在技术社区用行政手段搞定问题，坐等被喷

回复的某人技术水平也是堪忧
话说行政手段的那位更 6.。。

@loser 那路由器 Wan 口没接线呢？

@itzamana 这是傻逼公司待久了被洗脑了吧

百多号人，挨着走一圈就能找着了，不要把简单的事情搞复杂了

@taresky 确实被洗脑了。

LZ，你应该了解一下人家为什么私自接路由器，我想还是人性化一些吧，私接路由器的人肯定是有需求，而公司不满满足他。

@bclerdx 有需求并不代表那人有权限。

@WordTian 用行政的手段搞定当然没问题啊，群里问一声的事非要费劲调查才是写代码写傻了。
13 楼只是自己的方法又蠢影响又坏，和用不用行政手段没关系。
顺便说一句，如果群里问都没人承认或者知情隐瞒的话，这种公司快散了吧，100 个人还是技术就开始勾心斗角了，能做大就见鬼了。。。

哈哈, 我就知道我写那个会被喷, 不过我还是写了, 目的其实和 32 楼想表达的意思一样. 因为西安有一些公司确实会这样搞...不是指这个事情, 是类似的情况...他们确实会赌你不会去付出那费时费力的维权成本来获得不相称的维权成功的经济收益.

另外告诉 34 楼, V2EX 不是技术社区, 并且"技术"这个词也不止是这些用电的设备才能用, 你的想法太狭义了.
可以参考 /t/11789

公司群里发全体消息，或者邮件发送全体说明：

1. 发生了什么事情；

2. 为什么会发生；

3. 结果导致了什么；

4. 造成了多大的后果；

5. 如果需要使用路由器应正确的怎么配置或者可以向公司行政部门申请一个配置好了的路由器；

6. 然后说这次的事情如果自己私下或匿名承认是自己干的并恢复了使用或者自己撤下来设备，可以就此算了，但是如果是被查出来的话不会说不处理相关人员，但是会念在不知道的份上从轻处理，但是如果下次再发生直接从重扣相关人员和对应部门主管的工资和绩效，屡教不改直接通知人事让人当天收包滚蛋。

这样的话，只要把事情说明白了，其实就可以做到大事化小，小事化无了。

有些事情真的不是说写代码就可以解决的，真不要觉得会搞技术的就是万能的了。有的时候利用行政手段远比自己抓包什么的来的快还见效好。

@ZXCDFGTYU 你没遇到过，我可遇到过正是公司负责网烙的 IT 人员私接路由器接错了导致 DHCP 乱发包（别问我怎么查出来是 IT 人员干的好事）。

@mandymak 这就蛋疼了.....如果实在禁不掉这种的话，就在公司内网上发个接路由器的说明文档吧，让他们自己瞎 jb 接还不如告诉那些人正确的接法，省的到时候添乱然后大家还用的都开心 2333

@mandymak 如果要是公司有严格要求不让接，而且实在是管不了的话那就别添乱就行，但是出问题了谁干的谁从重从严罚

@ZXCDFGTYU 那瞎 JB 是负责公司网络的 IT 人员，私接原因是架 ngrok ／ frp 客户端＋纸飞机去使用公司专线。至于罚我没这个权力，我只负责管理专线，所以我直接封了那 IP 除正常上网外其他所有端口。

@mandymak 真是醉了，也没什么好办法

傻瓜路由器的话，进管理，用默认密码直接关 dhcp，改密码的话查路由器的品牌型号，有些傻瓜路由器可以无密码获取配置文件，然后什么 ssid 都出来了，再找路由器在哪就简单了

我自己就遇到过，公司网络里有一个设备会下发 192.168.1.100 ，百思不得其解，开着 dhcpcd 能看到 DHCP offer 来自同段某个 IP，但是这个 IP 既 ping 不通，也拿不到 MAC 地址（要不然直接查 MAC 就知道是什么设备了）。

最后逐级插拔端口然后用 dhcpcd 测响应，最后定位到第二个办公室里的一台无线 AP。

对你没看错，一台连路由器都不是的 AP。

TP-Link 的低端货，跑久了会随机进入不正常工作模式，然后就会变成一个隐形 DHCP Server。

解决方法很简单，重启 AP 即可。

总结方法：开着 dhcpcd，黑名单掉正常段，只接受错段的 Offer，然后循环运行（比如 watch 命令），逐级插拔网线，当 Offer 消失的时候就知道问题从哪里来了。

@snnn 不太理解你说的“ wan 口不会响应 dhcp 请求”，wan 口如果是公司的线接进来，应该是会向上层设备申请一个 ip 的吧？

@snsd A 的 wan 口连上级 router(B)的 LAN
A 的 DHCP 服务器不会向子网 B 广播 故无影响。

问题是如果 A 的 LAN 连 B 的 LAN，两台还都开了 DHCP 服务器
就有问题了。

@s82kd92l 我认为三层交换机转发是基于 mac 地址的，ipv6 并不改动以太网帧的 mac 地址。三层交换机支持 ipv6 是很简单的事情啊，傻瓜交换机都支持 ipv6，三层交换机反而不支持 ipv6 了？

上几天遇到了这个情况，做法也是找到默认网关，登陆上去，账号密码也没改，admin/admin 。DHCP 一关就好了；

然后想，肯定是哪个二愣子 WAN，LAN 口分不清。结果你猜怎么着，TM 的那个 AP 只有两个口，而且都是 LAN 口，没有 WAN 口。。。

人都直接傻了。