DoS w sieci wewnętrznej

Jakiś miesiąc temu zdarzył się w firmie której pracuję ciekawy przypadek.

Miałem zainstalować nowy system operacyjny Windows 7 Pro x64 wraz z całym środowiskiem programowym dla użytkownika.
Komputer został dodany do domeny oraz sztywno przypisany w serwerze DHCP jako swoją dzierżawę adresu IP po adresie MAC karty LAN.
Mimo przypisania adresu komputer nie potrafił dostać swojego adresu IP, cały czas go starał się uzyskać od serwera DHCP.

Wykonałem testy sprzętowe całego komputera wliczając w to oczywiście kartę sieciową. Komputer już na początku dziwnie się zachowywał skanowanie dysku, naprawianie Windowsa domyślnie zainstalowanego. Myślałem więc że to wadliwy komputer np. coś nie tak z płytą główną. Ale po przeinstalowaniu Windows-a problemy z dyskiem się uspokoiły.
Jednocześnie od kolegów usłyszałem że jest problem z czytnikami kart identyfikacyjnych, które są podłączone do naszej sieci LAN.

Okazało się, że ten nowy komputer wysyłał ciągle bardzo dużo broadcastów prosząc o adres IP i zapychało to sieć tak iż czytniki kart nie mogły się przebić zostały zDoS-owane pośrednio.
Po odłączeniu komputera czytniki wróciły do działania.
Dziwne że broadcastów nie zatrzymały same switche Cisco, które mają ochronę przed takimi problemami włączoną.

Ale dlaczego komputer nie mógł otrzymać tego adresu. MAC adres karty LAN był poprawny. Okazało się, że ten sam adres IP, który miał zostać przypisany nowemu komputerowi już sobie ktoś własnoręcznie przypisał do swojego komputera.
 Po zmianie adresu IP tego zduplikowanego z odkrytego komputera, problem został całkowicie rozwiązany i komputer po dziś dzień działa prawidłowo.

Zastanawiającej jest jednak to że mechanizm informowania o zduplikowanym adresie IP już istniejącym nie zadziałał poprawnie a komputer wysyłał ciągle w kółko w bardzo krótkich odstępach czasu broadcasty o adres IP.

W tym przypadku praktyka bardzo daleko rozmija się z teorią!!!

Coś też w tym temacie:
http://osdir.com/ml/network.dhcp.isc.dhcp-client/2006-11/msg00206.html