Permalänk
Medlem

DHCP i router beter sig mystiskt

Helt plötsligt en natt delade Routern ut mystiska IP nummer till enheter i nätverket.

En enhet som normalt har: 192.168.1.x mask 255.255.255.0 fick byta till 169.254.205.212 mask: 255.255.0.0
Efter 30 sekunder skickades det första IP numret ut igen.
Vad är det som händer?

Har kollat i loggen på routern Netgear WNR3500v2 och hittar inget speciellt vid aktuell tidpunkt. Det som förekommer i loggen är oftast dessa poster.
[DoS attack: Smurf] attack packets in last 20 sec from ip [109.161.236.255], Sunday, Apr 05,2015 00:47:21
[DoS attack: ACK Scan] attack packets in last 20 sec from ip [125.88.190.36], Thursday, Apr 02,2015 21:51:23

Edit: ser att det har hänt när lånet troligtvis har gått ut. Är det någon annan enhet som hunnit dela ut ett annat IP numer före min DHCP?.

Visa signatur

GA-Z97P-D3 | i5-4690K | 8Gb DDR3 | Gigabyte GTX 1050Ti | Samsung 850EVO 250Gb
Kylare: CPU: CM TX3 EVO3 | PSU: Silver Power SP-S460FL (Passiv)
Lur: OnePlus Nord | NAS: Synology 211j + Ett antal Hemmabygge

Permalänk
Medlem

169.xx adresser är väl det som windows delar ut som automatisk placeholder när den inte får någon annan adress från t.ex. dhcp i nätverket. Ett sätt att kringgå leastime är ju att manuellt sätta en fast ipadress antingen i windows eller om routern tillåter en reserverad adress i dhcp servern

Permalänk
Medlem

Oki fixade en dedikerad adress till enheten i DHCP bums. Kanske bara blir detta fenomenet då det är enheter som alltid är påslagna.

Visa signatur

GA-Z97P-D3 | i5-4690K | 8Gb DDR3 | Gigabyte GTX 1050Ti | Samsung 850EVO 250Gb
Kylare: CPU: CM TX3 EVO3 | PSU: Silver Power SP-S460FL (Passiv)
Lur: OnePlus Nord | NAS: Synology 211j + Ett antal Hemmabygge

Permalänk
Medlem
Skrivet av Provetector:

Helt plötsligt en natt delade Routern ut mystiska IP nummer till enheter i nätverket.

En enhet som normalt har: 192.168.1.x mask 255.255.255.0 fick byta till 169.254.205.212 mask: 255.255.0.0
Efter 30 sekunder skickades det första IP numret ut igen.
Vad är det som händer?

Har kollat i loggen på routern Netgear WNR3500v2 och hittar inget speciellt vid aktuell tidpunkt. Det som förekommer i loggen är oftast dessa poster.
[DoS attack: Smurf] attack packets in last 20 sec from ip [109.161.236.255], Sunday, Apr 05,2015 00:47:21
[DoS attack: ACK Scan] attack packets in last 20 sec from ip [125.88.190.36], Thursday, Apr 02,2015 21:51:23

Edit: ser att det har hänt när lånet troligtvis har gått ut. Är det någon annan enhet som hunnit dela ut ett annat IP numer före min DHCP?.

169.254.x.x är autogenererade IP-adresser som man får när ingen DHCP-server är tillgänglig av någon anledning; avstängd, inget nätverk etc...
Om det beror på DoS-attacker låter jag vara osagt. Har du öppna portar till någon NAS eller så som lockar?

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem

Ja jag har öppen en vidarebefodring av port 5000 till min projekt nas. I brandväggen där tillåter jag bara lokala IP och adressen till jobbet.
EDIT: Kanske dax att slänga in dd-wrt?

Visa signatur

GA-Z97P-D3 | i5-4690K | 8Gb DDR3 | Gigabyte GTX 1050Ti | Samsung 850EVO 250Gb
Kylare: CPU: CM TX3 EVO3 | PSU: Silver Power SP-S460FL (Passiv)
Lur: OnePlus Nord | NAS: Synology 211j + Ett antal Hemmabygge

Permalänk
Medlem

dd-wrt är ju trevligt för Wake-on-Lan daemon om inget annat

Permalänk
Medlem

DHCP-protkollet handlar om att dela ut en IP under tidsbegränsat period. Normalt för en windows server är 8 dagar numera, men för en bredbandsrouter kan det vara allt ifrån ett par timmar till dagar. En klient skall efter halva leasetiden börja försöka förnya sin IP adress och gör det genom att skicka en DHCP request till DHCP-servern med sin IP adress som "preferred IP". Dvs, de flesta enheter frågar alltså efter att förlänga det lease den har.

Bredbandsroutrar är i vissa fall lite glömska och kommer inte alltid ihåg vad den delat ut för IP adresser. Särskilt om man startar om dem. I de fallen kan de dela ut en IP adress som redan en klient har och då får du komflikt. Därifrån kan flera olika saker hända beroende på om klienten gör en ARP-förgfrågan om den IP adress den blivit erbjuden och då inser den att det vore korkat att acceptera en IP adress som någon annan redan har.

Kort sagt så är det rätt mycket som kan gå snett vid DHCP om man har med billigare bredbandsroutrar att göra ( En dyrare brandvägg eller en linux/windows server brukar spara ned leases på disk för att slippa konflikter)... Det bästa är att antingen ge de klienter du vill ha en statisk IP adress som är utanför det scope som DHCP-servern delar ut, alternativt att du i routern statiskt talar om att kleintdatorns MAC adress alltid ska få samma IP adress.