ネットワーク上に複数存在してしまった DHCP サーバーを探す

ある方が、無線 LAN のアクセスポイントに本来のセグメントと違う IP アドレス を設定し DHCP 機能を ON にして社内のネットワークにつなぎました。

「ユーザーの方からネットワークにつながらないのですけど」と問い合わせがあり確認してみると見かけない IP アドレス が設定されています。社内ネットワークには、もともと DHCP サーバーが存在して運用されていましたが、そんな IP アドレス を払いだす設定になっていただろうか？

というわけで、 Wireshark を使って不正な DHCP サーバー を探していきます。

不正な DHCP サーバー を探す

DHCP は、適切な設定を行っていない状態で同じネットワークに複数存在していると IP アドレス がかぶってしまったり、間違った設定情報を取得したりして接続障害が発生することがあります。

冒頭の不具合のように、本来の DHCP サーバー とは別の DHCP サーバー が存在していないか、ネットワーク内の DHCP が正常に動いているかといったことを調べたいときがあります。

そんな時に使える Wireshark を使って DHCP サーバー が複数存在していないか調査します。

※ Wireshark の入手は公式サイトから

Wireshark を起動すると次の画面が表示されます。

認識されたネットワークインターフェースの一覧が表示されるので、一覧の中から調べたいネットワークにつながっているインターフェースを選択します。

ここでは、無線 LAN インターフェイスを選択しました。

選択すると画面表示が変わり、つらつらと情報が流れ始めます。これが選択したインターフェイスで取得できるネットワーク上の情報になるのですが、 DHCP 以外の情報も取得されているため目的のものを探すのが困難です。 Wireshark には、取得した情報をフィルタリングする機能が用意されているので次のように「bootp」 と入力して必要な情報だけ表示されるようにします。

フィルタリングすることで、 Bootstrap protocol の情報のみが出力されるようになり探しやすくなりました。

しばらく待っている（同一ネットワーク上の別の端末が DHCP サーバーへリクエストする ）と何やら情報が出力されてきます。

Source 項目のアドレスが DHCP サーバー のアドレスになる（DHCP リレー が設定されているような環境では、 DHCP サーバーのアドレスでない場合があります）ので、複数種類の IP アドレス が存在していないか確認します。

存在するはずのないアドレスが出力されていたら不正な DHCP サーバー が存在している可能性があるので、発信元が誰なのかを調査します。

バシッと特定できるわけではないのですが、存在するはずのないアドレスの情報をクリックすると、その通信の詳細が表示され Mac アドレス や インターフェースのメーカー名 などの様々な情報を確認することができます。このあたりの情報からあたりを付けることができるかもしれません。

今回は、これらの情報と聞き取り調査によって無線 LAN のアクセスポイントが原因であることを特定することができました。

Wireshark を使うと DHCP サーバー との通信内容を確認できるので、 IP アドレス の取得に失敗している場合などの障害調査にも使えます。