私起DHCP服务器处理

今天在处理一起私起dhcp处理的一沓糊涂，虽然最后找出来了，花了将近一个小时的时间，我先说说处理的方法，后面再说说改进的处理方法。

我先在汇聚交换机下联口做端口镜像，一个一个端口去抓取DHCP报文，最后在左边没有找到私起的DHCP服务器，然后在抓汇聚交换机上联口，发现有私起的DHCP报文，这就说明私起的DHCP服务器在右边，然后我又到右边用同样的方法抓，最后找到了。在接入交换机口起dhcp snooping功能。

我当时处理的思路非常乱，毫无逻辑。说说改进措施。在上面的方法上改进，获取错误IP地址的用户在左边，所以在左边汇聚上联口抓取DHCP报文。如果抓取不到，说明私起的DHCP服务器在汇聚交换机下面，一层一层的抓取，找到后复制出私起DHCP服务器的MAC地址，在交换机上查MAC地址表，是从哪个端口上面学到的,一层一层的查MAC地址表，找到相应端口启用dhcp snooping功能，然后全网配置dhcp snooping功能。

但是这个方法还不是最好的处理方法，处理流程还是太过复杂。我在用户的电脑上抓包，这样肯定可以抓取DHCP报文，找出私起的DHCP服务器MAC地址，就可以在最上面的接入交换机一层一层查MAC找到，然后配置dhcp snooping功能。

还有一种方法就是不用抓包就可以找到，在cmd中查看ipconfig/all里面有个DHCP服务器地址，我们ping这个地址然后在cmd里面arp -a查看DHCP服务器对应的MAC地址就可以在最上面的接入交换机上面查MAC地址表了，然后拉出去打一顿。

以上就是今天处理私起DHCP服务器的心得了。