Skip to main content

 

Cisco Meraki Documentation

不正な DHCP サーバーの追跡

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年09月12日付けで翻訳したものです。
最新の情報は原文をご確認ください。

不正な DHCP サーバーは、あらゆるネットワークで厄介な問題を引き起こす可能性があります。この記事では、不正な DHCP とは何かを簡単に説明し、不正なデバイスの発見と追跡に役立つ Cisco Meraki デバイスの機能を紹介します。

不正な DHCP

DHCP は、固定 IP の割り当てが設定されていないデバイスの接続情報を自動設定するために使用されます。協調動作するように明示的に構成されていない限り、複数の DHCP サーバーが存在すると、クライアントやネットワーク デバイスが受け取る IP アドレス、サブネット マスク、ゲートウェイ IP アドレスなどの情報が、ネットワークのあるべき動作と競合する可能性があります。これは通常、クライアントのグループが断続的にインターネットやその他のネットワーク リソースへの接続を失う形で現れます。この問題は、ユーザーがコンシューマ ルーターを LAN ポート経由で接続するなど、このサービスを提供するデバイスを誤ってネットワークに接続したときに最もよく発生します。

 

DHCP はレイヤ 2 の技術であり、そのため多くの場合 1 つのサブネットに限定されます。最も効果的な不正サーバーの追跡方法は、その MAC アドレスを手がかりにすることです。Meraki デバイスは、不正な DHCP サーバーの MAC アドレスの発見と所在の特定を支援する仕組みを提供します。


Cisco Meraki 製品を使用した不正サーバーの特定

各 Cisco Meraki 製品は、不正な DHCP サーバーの MAC アドレスの特定や、サーバーの所在の追跡において支援できます。

Cisco Meraki セキュリティ アプライアンス(MX)

Cisco Meraki セキュリティ アプライアンスは、不正な DHCP サーバーを検出してログに記録できます。これはイベント ログ(ネットワーク全体 > イベント ログ)で確認できます。イベント ログには、以前の DHCP サーバーの IP と MAC アドレス、および新たに検出された DHCP サーバーの IP と MAC アドレスの組み合わせが表示されます。

Cisco Meraki アクセス ポイント(MR)

不正な DHCP サーバーの影響を受けているネットワークで Cisco Meraki アクセス ポイントを使用しており、AP に固定 IP アドレスが設定されていない場合、イベント ログは複数の DHCP サーバーから応答を受信したことを示します。イベント ログには、以前の DHCP サーバーの IP と MAC アドレス、および新たに検出された DHCP サーバーの IP と MAC アドレスが表示されます。そのイベントの 詳細 列の more >> を選択することを忘れないでください。

 

以下のスクリーンショットは、不正な DHCP サーバーの可能性を示すイベントの例を示しています。この例では、MAC アドレス CC:22:BB:11:AA:00 が不要な DHCP サーバーであるように見えます。

ダッシュボードのイベント ログ メッセージのスクリーンショット。複数の DHCP サーバーが検出されたことを示しています。

Cisco Meraki スイッチ(MS)

スイッチは、インフラストラクチャ上の DHCP サーバーを監視する機能と、不正サーバーを追跡するための有効な手段を提供します。

Cisco Meraki スイッチは DHCP サーバーを追跡し、この情報のネットワーク全体ビューを提供します。このページはダッシュボードで スイッチ > 監視 > DHCP サーバー& ARP に移動すると表示できます。以下の例に示すように、ネットワーク上で検出されたすべての DHCP サーバーが表示されます。また、最新の DHCP ACK に関する詳細情報も提供します。この例では、企業の DHCP サーバーと不正な DHCP サーバーの両方が確認できます。

ダッシュボードの スイッチ > 監視 > DHCP サーバーと ARP のスクリーンショット。複数の DHCP サーバーが検出されていることを示しています。

 

DHCP サーバーと ARP ページの詳細については、MS DHCP サーバーを参照してください。

すべての Cisco Meraki 製品

すべての Cisco Meraki 製品には、不正な DHCP サーバーの追跡に大いに役立つ 2 つの機能があります。1 つ目は、MAC アドレスや IP でクライアントを検索できる機能です。これにより、不正な DHCP サーバーがどのデバイスに接続されているか、さらにその不正サーバーが接続されている物理スイッチ ポートまで特定できる可能性があります。以下の画像は、ネットワーク全体 > 監視 > クライアント ページで、例として不正な DHCP サーバーを検索した様子を示しています。この例はスイッチでのものなので、デバイスが検出されている機器とポートも表示されます。このポートに接続されているデバイスがエンド ノードであれば、不正な DHCP の問題の原因である可能性が高いです。そうでなければ、原因はネットワークのその系統に限定され、引き続き調査を進めることができます。

ダッシュボードの ネットワーク全体 > 監視 > クライアント のスクリーンショット。特定の MAC アドレスを検索して不正な DHCP サーバーの可能性がある機器を特定している様子を示します。

2 つ目は、パケット キャプチャを実行できる機能です。キャプチャがどのように役立つかは、以下で説明します。ダッシュボードのパケット キャプチャ ツールの使用方法の詳細は、このページをご覧ください。

パケット キャプチャを使用した不正な DHCP サーバーの特定

パケット キャプチャは、不正な DHCP サーバーによる悪影響の確たる証拠を提供します。パケット キャプチャを取得する際は、bootp フィルタを使用して DHCP パケットを抽出できます。以下は、クライアント(MAC アドレス f0:de:f1:a3:5d:d6)と正しい DHCP サーバー(MAC アドレス 00:18:0a:40:05:34)の間での典型的な DHCP ハンドシェイクの Wireshark 出力例です。
成功した DHCP DORA(Discover-Offer-Request-ACK)プロセスを示すパケット キャプチャのスクリーンショット。

そのネットワーク セグメントに不正な DHCP サーバーが影響している場合、クライアントの DHCP Discover パケットに対して複数のサーバーが応答する様子が確認されます。以下は、同じクライアントがブロードキャスト ドメイン内に不正な DHCP サーバーが存在する状況で DHCP からアドレスを取得しようとした例です。この出力では、上記と同じクライアントとサーバーに加えて、別の DHCP サーバー(MAC アドレス 00:18:0a:10:8b:e0)が見られます。

サーバーがクライアントの IP 要求に NAK を返し、DHCP プロセスが失敗していることを示すパケット キャプチャのスクリーンショット。

このパケット キャプチャは、MAC アドレス 00:18:0a:10:8b:e0 のデバイスが不正な DHCP サーバーとして動作していることを示しています。正規の DHCP サーバーの想定 MAC アドレスが不明な場合は、DHCP サーバーのインターフェイス、または(DHCP サーバーが別のブロードキャスト ドメインにある場合)DHCP リレーのインターフェイスから取得できます。次の手順は、不正な DHCP サーバーの MAC アドレスを使用して、そのサーバーが接続されているスイッチとポートを特定し、そのデバイスに対処することです。