Большое количество BAD_ADDRESS в арендованных адресах DHCP

Здравствуйте.
Имеется контроллер AD на небольшом предприятии. На нём же расположен DHCP сервер. До недавнего времени всё было хорошо, но потом начались неприятности.
С утра многие устройства не могут войти в сеть, так как не могут получить IP адрес. После ожидания в 20-30 минут многие адрес всё же получают, но не все.
Сначала грешил на сервер, отключил ему определение конфликтов, но ситуация не улучшилась.
Помониторил с помощью Wireshark, и понял, что похоже клиенты сами определяют, что предложенный адрес кем то занят и отправляют серверу ответ Decline, в результате чего и появляются записи BAD_ADDRESS. Далее сервер предлагает другой адрес, но и он клиента не устраивает. И так по кругу, пока не найдётся адрес, удовлетворяющий клиента. Но все адреса, что были забракованы в реальности не были заняты!
Пришёл к выводу, что похоже в сети появилось какое то устройство, конфликтующее со всеми. Но как оно это делает, и как его поймать - не понимаю.
Единственная зацепка - в журнале моего компьютера (Linux) поймал интересную запись: IP address 192.168.3.134 cannot be configured because it is already in use in the network by host EC:9A:0C:19:21:61. Но устройство с этим адресом уже занимает другой ip адрес!
Буду благодарен за любые подсказки

0

Сообщение от eol3000 EC:9A:0C:19:21:61

Смотрите у какого коммутатора данный MAC адрес. Отключайте по одному коммутатору и следите за исчезновением MAC.

1

Пока тоже пришёл к такому выводу. Буду пробовать, надеюсь поможет

0

Сообщение от eol3000 Но все адреса, что были забракованы в реальности не были заняты!

Как Вы это проверили? Пингом? Вероятнее всего в сети есть еще один DHCP, который раздает адреса из того же диапазона, что и AD.

0

Да, проверял пингом. Второго DHCP точно нету, проверял отключением основного сервера.
На самом деле уже нашёл злодея. Им был как раз обладатель того самого мака: EC:9A:0C:19:21:61. Вычислил по коммутаторам, где он находится. А дело было так: у нас запретили сотрудникам подключать телефоны к wifi, если на то нет служебной необходимости, ибо нефиг. И нашёлся один деятель из техподдержки, который решил: раз по wifi нельзя, значит по проводу можно. Прикупил к телефону type-c ethernet адаптер, и никому ничего не сказав воткнул кабель. Эта связка и начала гадить в сеть, причём я не совсем понимаю, почему, и каким образом она занимала кучу ip разом, реально их не занимая. Если у кого нибудь есть идеи, было бы интересно послушать.

0

eol3000, рискну предположить, что злодей получив доступ в сеть, захотел раздать полученный интернет коллегам по WiFi, а поскольку своего DHCP-сервера у смартфона нет, он их зарезервировал у действующего сервера DHCP.

0

Сообщение от eol3000 На самом деле уже нашёл злодея

Типичная ситуация, когда юзеры сидят под админским логином или знают пароль лок.админа. Впрочем, если из техподдержки, не удивительно. Для них точно нужны права админа?
С другой стороны, у вас перегиб с "маски-шоу" и шагом-марш. Для некоторой категории, которая хорошо мониторится, лучше давать послабления с выходом. Не будут что-то своё мастрачить с правами, будут под легальным контролем. Примерно к такому выводу пришли у нас.

0

Segera, для того, чтобы посмотреть мак-адрес компьютера права админа в системе не нужны.
Достаточно открыть командную строку от имени текущего пользователя и ввести:
Посмотреть мак и ввести его на своем личном устройстве, будь то смартфон, планет, ноут и т.д.

0

Сообщение от eol3000 причём я не совсем понимаю, почему, и каким образом она занимала кучу ip разом, реально их не занимая

вероятно у него поднят DHCP+GateWay. Который раздает нужным юзерам интернет.
Ситуация когда интернет влит в рабочую сеть предприятия, мягко говоря более странная, чем кто-то поднял что ему захотелось.
Не говоря про такой нюанс, почему не блокируются USB порты ( с разрешениям для нужных USB - ID ) через KES или GPO.
У вас похоже полный комплект самостийности, которая у нас была в середине 90-ых. Давно от подобного отвыкли. Точнее заставили

Сообщение от Maks чтобы посмотреть мак-адрес компьютера права админа в системе не нужны

Что даст значение MAC своей сетевой карты для раздачи интернета? Без использования значительно более глубоких знаний.

0

Сообщение от Segera Что даст значение MAC своей сетевой карты для раздачи интернета?

Вы топик внимательно прочитали? Пользователь узнает мак своего ПК, который уже авторизован в сети, вводит этот мак на своей андроиде и раздает полученный интернет своим коллегам. Метод стар, как мир.

0

Сообщение от Maks eol3000, рискну предположить, что злодей получив доступ в сеть, захотел раздать полученный интернет коллегам по WiFi, а поскольку своего DHCP-сервера у смартфона нет, он их зарезервировал у действующего сервера DHCP.

На самом деле там такой пользователь, что удивляюсь, как он вообще допёр до идеи подключения кабеля к телефону, даром, что из техподдержки. О том, чтобы проворачивать такие схемы, как раздача коллегам и резервирование адресов, можно вообще не говорить, не его это)

Добавлено через 2 минуты

Сообщение от Segera У вас похоже полный комплект самостийности, которая у нас была в середине 90-ых. Давно от подобного отвыкли. Точнее заставили

Да, всё так. Предприятие маленькое, руководство в целом лояльное, если не считать отдельных закидонов типа запрета Wifi и желания мониторить, куда пользователи ходят в интернете

0

Сообщение от Maks Пользователь узнает мак своего ПК, который уже авторизован в сети, вводит этот мак на своей андроиде и раздает полученный интернет своим коллегам.

В этой старой схеме слишком много излишеств.
Если мог раздавать через точку доступа, зачем ему в смарте MAC своего компа?
Из сообщения ТС, подключил шнурком смарт к компу и раздает через него. Зачем на смарте менять MAC? Комп уже в интернете. Добавь второй TCP/IP на карту ( функционал шлюза ) и через него все пускай бегают по интернету.
Эта схема не менее стара.

0

Сообщение от Segera Если мог раздавать через точку доступа, зачем ему в смарте MAC своего компа?

Все таки невнимательно прочитали топ.
Тырят корпоративный интернет таким образом (как умеют), теперь понятно?

Добавлено через 2 минуты

Сообщение от eol3000 На самом деле там такой пользователь, что удивляюсь, как он вообще допёр до идеи подключения кабеля к телефону, даром, что из техподдержки. О том, чтобы проворачивать такие схемы, как раздача коллегам и резервирование адресов, можно вообще не говорить, не его это)

Это еще "цветочки", мне попадались юзеры на отдаленных объектах, которые клонировали мак с ПК на свой личный роутер, далее с этого роутера свой собственный DHCP раздавал ip.

0