Добрый день коллеги!
Вопрос из сегмента сетевого траблшутинга ;-)
Имеется сеть 192.168.1.0/24 , шлюз - 192.168.1.1 (Mikrotik);
Первые десять адресов 192.168.1.2-192.168.1.11 - Ubiquiti UniFi APLR;
Остальное 192.168.1.15-192.168.1.254 - DHCP Клиентам (раздача через WiFi).
Сетка открытая (она должна всегда быть открытой).
Кто то взял точку (неизвестно в каком месте, неизвестно какого производителя), и настроил на ней 192.168.1.1, после чего в сети образовался коллапс.
Теперь у клиентов как вы понимаете 5 минут есть интернет, 5 минут его нету, и так циклически.
MAC адрес этой точки, теоретически ( практически ) узнать можно.
Скажите пожалуйста, может вы знаете инструментарий, который позволит заблокировать данную точку, в этом сегменте сети ? Либо посоветуйте, как лучше сделать, что бы в дальнейшем такой ситуации не повторилось ?
1. Определить mac адрес нарушителя используя команды ping и arp с выключенным "валидным" шлюзом.
2. В софте точек доступа внести mac адрес нарушителя в black лист.
3. Профит.
Сделать чтобы не повторялось крайне сложно. Это IP он не имеет "в лоб" механизмов защиты от подобных атак. Некоторые свичи могут, но, судя по описанию, ваше оборудование не может.
Имеется сеть 192.168.1.0/24 , шлюз - 192.168.1.1 (Mikrotik);
А вы перенесите дефаултный IP (шлюза) куда-то в конец диапазона подсети ... 192.168.1.200 ;-)
Адрес 192.168.*.1 - самый традиционный, поэтому на него, по недомыслию или по злобности, чаще всего и сажаются.
На локальных интерфейсах включить reply-only или посмотреть traffic segmentation.
В ARP list вручную привязывать mac-адреса и ip-адреса роутера.
Сделать правило, которые будет тупо убивать левый udp 67\68 с других mac адресов.
