辦公網路被優酷路由寶DHCP劫持了，怎麼解決？

01-21

單位辦公網路，最近頻繁出現計算機或手機IP被分配到192.168.11.X網段，發現192.168.11.1是一個優酷路由寶，這個路由寶可以讓並沒有接到它上面的同級網路設備，都強制劃入它的網段。我估計是一種旁聽式網路劫持的方式。但是我們現在拿他沒有辦法，因為不知道這東西的物理位置，也沒有登錄密碼，即便是照打它的MAC地址在核心路由器中禁用也完全沒有意義，因為它的劫持導致計算機無法上網，即便核心路由器禁止它連接，它一樣可以旁聽劫持。請問各位有沒有什麼辦法？
補充一下，由於單位網路管理混亂，沒有做vlan，各種100元級的路由器、交換機很多，這些設備也不具備管理功能。已挨著辦公室進行排查，沒有發現路由寶位置。

1、在交換機上根據 MAC 查埠，找出設備的物理位置。

2、重罰。

只是那人把優酷那什麼的 LAN 插到你的 LAN 裡面了，正好人家還開著 DHCP，衝突了而已。

怎麼解決嘛一般我們都是靠物理方法解決的：搜查所有埠，把這人抓出來打一頓。

排查:

從設備上看ARP表項，根據MAC看從哪個埠學到的，然後再登那個埠連接的設備，同樣的看ARP表項……到最後就可以確定是接在哪台交換機哪個埠下。

就算接入下面還有私接的交換路由，從核心開始往下排，也可以縮小排查範圍。

防禦:

接入層設備是否可以配置DHCP snooping？如果可以的話開啟該功能，將接入設備上通往真正DHCP伺服器的那個埠設為信任埠，其他埠均設為非信任埠。

交換機做dhcp-snooping，強制指定dhcp伺服器

然後接上面tk的建議，抓到重罰

補一句，不是劫持，而是它一個勁的發dhcp包，讓客戶機認為它是dhcp伺服器而不是你指定的dhcp伺服器

補兩句，當年學校某公寓某樓有人私接路由器，結果那層樓用的還是非網管交換機，沒招了只能進弱電間找到這個交換機挨根網線拔，甚是辛酸。

交換機可網管不？根據mac表找到埠，shutdown之，看誰跳出來

從主交換開始挨個網線拔，總有一個是的

抓包，查出來DHCP server的Mac，然後查Mac登記

PS: 昨天剛5個人去抓搞得DHCP廣播的人，一番強勢圍觀他，進行了恐嚇(並沒有

遇到過一次。一個水星的刷入openwrt系統的路由器，在wan口上啟用了dhcp。

在接入sw上連接該路由器的埠下，設置dhcp-snooping為不信任。之後就沒問題了