Блокировка мошеннического DHCP в сети

Question

Я живу в общежитии с большой сетью и множеством людей, подключающих свои роутеры для получения wifi (им технически запрещено это делать, но никто не проверит комнаты на предмет подключенных роутеров). Эти маршрутизаторы также назначают неправильный IP-адрес моей машине, который не предоставляет мне доступ в Интернет. Нам не разрешено использовать статические IP-адреса в сети. Только назначенные IP-адреса от основного шлюза.

Есть ли какой-либо способ для меня в Windows 7 принимать только IP-адреса с определенного MAC-адреса / не принимать никаких IP-адресов с определенных MAC-адресов / или просто не принимать IP-адреса 192.168.xx?

Answer 1

Если у вас есть несколько рекламодателей DHCP в одной сети, это действительно задача администратора, но вот потенциальное направление без этой поддержки.

Фильтрация MAC-адресов в Windows 7 - это услуга, предоставляемая сторонним поставщикам через платформу фильтрации Windows (маркетинговая ссылка, технологическая ссылка). Хотя я смог подтвердить, что Windows 7, вероятно, поддерживает фильтрацию по MAC-адресам, на удивление трудно найти что-то более продвинутое, что не может быстро стать кодированием.

Решение MAC (кроме отказа от DHCP), по-видимому, заключается в загрузке любого из распространенных сторонних продуктов HIPS, которые предоставляют свои собственные брандмауэры (которые затем будут использовать WFP для выполнения того, что вы хотите).

Блокировка по маске подсети не работает, потому что широковещательная конфигурация хоста происходит через ARP на широковещательный MAC-адрес. Отвечающие системы направляют ответы обратно на ваш MAC-адрес, и первое, что получит ваша система, приведет к автоматической настройке. Когда у вас есть IP-адрес, достаточный для блокировки подсети, уже слишком поздно

¹ Чтобы создать область подсети по другой причине, которая эффективна только после того, как вы настроили правильную конфигурацию: снимок экрана в этой теме. В этом посте они создают правило для входящих сообщений, выбирают вкладку «Область», вводят подсеть / маску и настраивают доступ.

Answer 2

@tonydo, если я правильно понимаю, какой-то студент установил новый маршрутизатор Wi-Fi в своей комнате, отключает кабель от ПК и подключает его к локальному порту локальной сети маршрутизатора WIFI, теперь DHCP в маршрутизаторе прослушивает сеть общежития. Ученик, обладающий техническими знаниями, может отключить DHCP на своем маршрутизаторе, но, очевидно, этого не происходит, поэтому, возможно, предупредите каждого сотрудника на своем этаже, чтобы убедиться, что он правильно настроен с отключенным DHCP. При необходимости анонимная заметка. Если бы в общежитии были умные коммутаторы, он мог бы фильтровать все DHCP-пакеты 2-го уровня (?) они видят из любых студенческих маршрутизаторов, но это поощрило бы студенческие маршрутизаторы настолько маловероятно, что это произойдет.

Предполагая, что он должен быть на порту LAN мошеннического студенческого маршрутизатора, чтобы он назначил неправильный адрес шлюза, значения подсети и DNS-сервера. Это то, что вы наблюдали? Если это так, проверяя, какое значение вам присваивается каждый раз, когда вы обнаруживаете, что это не ожидаемое значение, делайте ipconfig /release * и ipconfig /renew пока вы не получите правильный шлюз. Пакетный сценарий должен это делать - он может исправить 80% случаев неправильных адресов, если ваша сеть Dorm использует нетипичные значения.

Answer 3

В идеале сетевые администраторы могли бы выслеживать и отключать мошеннические маршрутизаторы с молотка, но я понимаю их ситуацию. К сожалению, нет способа сообщить клиенту, какой DHCP-сервер использовать. Протокол DHCP будет просто отвечать на первый сервер DHCP, который отвечает. Если бы это была моя сеть, я бы идентифицировал IP-адрес мошеннического DHCP-сервера, а затем определил, на каком порту они отбрасывают, используя таблицы arp в коммутаторе, и отключил их.

Что ты можешь сделать?

Вы можете определить IP вашего плохого DHCP-сервера с помощью команды «ipconfig /all» из командной строки. Получив IP-адрес мошеннического DHCP-сервера, заблокируйте весь трафик на / с этого адреса с помощью программного обеспечения брандмауэра. Учитывая, что мошеннический DHCP-сервер также может получать DHCP-адрес, его собственный адрес может измениться в какой-то момент, что означает, что вам придется повторять эту операцию всякий раз, когда ваш интернет прерывается.

Отправить билет с ИТ. Удачи.

Answer 4

Если вы не являетесь администратором сети или у вас нет контроля над DHCP, нет. Лучший способ решить эту проблему - установить статический IP-адрес и шлюз по умолчанию.

Answer 5

Поэтому я думаю, что может быть некоторая путаница. Во-первых, да, вы можете отключить DHCP в Windows. Панель управления - Настройки сети - Изменить настройки адаптера - щелкните правой кнопкой мыши свой сетевой адаптер и выберите свойства - выберите IPv4 - Снимите флажок DHCP и введите выбранный IP-адрес, маску подсети и шлюз. Я рекомендую вам открыть командную строку, запустить ipconfig и скопировать ваш текущий шлюз, IP-адрес и маску подсети.

Теперь другая часть. Вы не "защищаете себя от DHCP". Я не уверен, что вы пытаетесь достичь. DHCP не позволяет пользователям назначать один и тот же IP-адрес, что вас беспокоит. Назначение себе статического IP-адреса может вызвать конфликт, который вас беспокоит, и помешать вам установить соединение.

Теперь, если вы пытаетесь подключиться к своему собственному WiFi-маршрутизатору, а никто другой этого не делает, эти настройки будут на вашем маршрутизаторе. Ищите белый / черный список или фильтрацию MAC. Если вы пытаетесь удостовериться, что вы не подключаетесь к случайным открытым WiFi-маршрутизаторам, для Windows также есть настройка.

Answer 6

Я так понимаю, вы принимаете IP с сервера DHCP? Это должны быть ваши ворота. Похоже, вы хотите подключиться только к вашей общежитии, а не к каким-либо "подсетям", создаваемым другими (предположительно NAT) маршрутизаторами.

Они используют одинаковые SSID и ключи? Или они пытаются обмануть сеть общежития? Они могут подделать MAC-адрес тоже.

Итак, вы хотите проверить подлинность вашей сети, прежде чем принимать IP? Поговорите со своим администратором, чтобы подтвердить, что есть только один DHCP-сервер и как гарантировать, что вы подключились к их сети.