admin 管理员组文章数量: 887007
目录
网络拓扑
症状
复现过程
查到原因
解决方案
写在最后
网络拓扑
光猫-->RB750gr3 -->B316-855-->>无线终端
B316-855是4G路由器,这里我网络设置为仅LAN模式,关闭DHCP做AP使用,使用时间有半年。
症状
最近突然发现网络不太稳定,最开始是一台小米手机,后来老婆用华为平板看电视剧的时候发现上不去网了,才开始重视这个问题。在网关发现有大量的日志,有两个IP从拨号接口访问172.31.255.254这个IP。因为私网IP在拨号端口访问私网IP被防火墙拒绝。IP就是两台安卓设备,网络大概有十几台设备,windows设备 苹果手机,智能设备网络正常。
因为网络内没有这个段的IP ,就去网上搜索 ,查到相关案例,这个贴子内通信人家园楼主和27楼遇到相同问题,我用手机尝试解析不同域名,都会解析到172.31.255.254这个IP。关闭B316-855路由器,网络恢复。
复现过程
1、直接使用4G路由器IP做DNS, nslookup 在路由器网络指示灯红灯的时候就会劫持DNS
2、在浏览器输入172.31.255.254会跳转到路由器后台
3、本地抓包可以看到172.31.255.254这个的设备MAC就是华为4G路由器的
4、可以看到这个路由器有通告ipv6 DNS。
查到原因
1、这个4G路由器在做AP使用的情况是断网状态,网络指示灯为红色,把DNS给劫持到了路由器网络检测页面。我这里现网并未使用这个路由器DNS,为什么会出现这个问题呢?这个路由器会通告自身IPV6地址为DNS给终端,由于在IPV6的情况下,会优先通过IPV6DNS解析。相关案例:深信服社区
解决方案
可以在交换机配置RA保护
华三交换机
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] ipv6 nd detection enable
华为交换机
背景信息
管理员可根据接口在组网中的位置来配置接口的角色。如果确定接口连接的是用户主机,则配置接口角色为用户(host);如果确定接口连接的是路由器,则配置接口角色为路由器(router)。
若接口角色为路由器,则直接转发RA报文;
若接口角色为用户,则直接丢弃RA报文。
操作步骤
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入二层接口视图。
执行命令nd raguard role { host | router },配置IPv6 RA Guard功能的接口角色。
缺省情况下,未配置IPv6 RA Guard功能的接口角色。写在最后
最后我这里算未解决,把这个路由器恢复出厂,一样会劫持DNS。之前半年一直正常使用的,突然就出现了原因未知。我这里是完全做AP使用的,配置上保护以后,有线网络正常了,不会收到这个4G路由器通告的DNS,但是连接上这个路由器WiFi的还是会解析异常,所以就把设备换下来了。
如果在公司网络中有人私接该系列路由器导致的网络异常,可以参考解决。
版权声明:本文标题:局域网内劫持DNS解析结果到172.31.255.254排查与复现 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1728311938h1227184.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论