Як дізнатись, чи є в моїй мережі негідний DHCP-сервер?

Який найкращий підхід до визначення, чи є в моїй мережі серверний DHCP-сервер?

Мені цікаво, як більшість адміністраторів підходять до подібних проблем. Я знайшов зонд DHCP шляхом пошуку і подумав про те, щоб його спробувати. Хтось із цим мав досвід? (Хотілося б знати, перш ніж витрачати час на його складання та встановлення).

Чи знаєте ви будь-які корисні інструменти або найкращі практики щодо пошуку шахрайських серверів DHCP?

Один з простих методів - просто запустити sniffer на зразок tcpdump / wireshark на комп’ютері та надіслати DHCP-запит. Якщо ви бачите будь-які пропозиції, крім вашого справжнього сервера DHCP, знаєте, у вас є проблеми.

Щоб скласти резюме та додати до деяких інших відповідей:

Тимчасово відключіть свій виробничий сервер DHCP і подивіться, чи реагують інші сервери.

Ви можете отримати IP-адресу сервера, запустивши ipconfig /allна машині Windows, а потім можете отримати MAC-адресу, шукаючи цю IP-адресу за допомогою arp -a.

На Mac запустіть ipconfig getpacket en0(або en1). Див. Http://www.macosxhints.com/article.php?story=20060124152826491 .

Інформація про сервер DHCP зазвичай знаходиться в / var / log / messages. sudo grep -i dhcp /var/log/messages*

Звичайно, вимкнення продуктивного DHCP-сервера може виявитися непоганим варіантом.

Використовуйте інструмент, який спеціально шукає шахрайські сервери DHCP

Див. Http://en.wikipedia.org/wiki/Rogue_DHCP для переліку інструментів (багато з яких були перелічені в інших відповідях).

Налаштування комутаторів для блокування пропозицій DHCP

Більшість керованих комутаторів можуть бути налаштовані для запобігання шахрайським серверам DHCP:

• http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.html

• http://www.juniper.net/techpubs/en_US/junos9.2/topics/concept/port-security-dhcp-snooping.html

• http://h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/AN-S12_ProCurve-DHCP-snooping-final.pdf

dhcpdump , який приймає форму входу tcpdump і показує лише пов'язані з DHCP пакети. Допоміг мені знайти rootkited Windows, представляючи себе фальшивим DHCP у нашій локальній мережі.

Підходи Wireshark / DHCP explorer / DHCP Probe підходять для одноразової або періодичної перевірки. Однак я рекомендую заглянути в підтримку DHCP Snooping у вашій мережі. Ця функція забезпечить постійний захист від шахрайських серверів DHCP в мережі та підтримується багатьма різними постачальниками обладнання.

Ось набір функцій, як зазначено в документах Cisco .

• Перевіряє DHCP-повідомлення, отримані з ненадійних джерел, і фільтрує недійсні повідомлення.

• Обмежує швидкість трафіку DHCP з надійних та ненадійних джерел.

• Створює та підтримує базу даних прив'язки DHCP, що містить інформацію про недовірених хостів з орендованими IP-адресами.

• Використовує базування даних прив'язки DHCP для перевірки наступних запитів від недовірених хостів.

dhcploc.exe - найшвидший і зручний спосіб у системах Windows. Він доступний у засобах підтримки XP. Інструменти підтримки є на кожному диску OEM / роздрібної XP, але можуть бути або не бути на "дисках відновлення", наданих деякими виробниками оригіналу. Ви також можете завантажити їх з MS.

Це простий інструмент командного рядка. Ви запускаєте dhcploc {yourIPaddress} і потім натискаєте клавішу 'd', щоб зробити фальшиве виявлення. Якщо залишити його без натискання жодної клавіші, він відобразить кожен запит DHCP і відповість, що він почує. Натисніть "q", щоб вийти.

Scapy - це інструмент для створення пакетів, який базується на пітоні, який підходить для таких завдань сортування. Тут є приклад того, як це зробити саме тут .

Щоб розширити коментар l0c0b0x щодо використання bootp.type == 2як фільтра. Фільтр bootp.type доступний лише у Wireshark / tshark. Це не доступно в tcpdump, у яке контекстне розташування його коментаря схилили мене вірити.

Царк прекрасно працює на це.

У нас мережа поділена на численні домени широкомовного телебачення, кожен з яких має власний зонд на базі Linux з точкою присутності в "локальному" широкомовному домені та в адміністративній підмережі так чи інакше. Tshark у поєднанні з ClusterSSH дозволяє мені легко шукати трафік DHCP або (що-небудь інше з цього приводу) в подальших куточках мережі.

Тут ви знайдете відповіді DHCP за допомогою Linux:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

як тільки ви встановили, що в мережі є негідний сервер dhcp, я знайшов найшвидший спосіб вирішити це ...

Надішліть круглу адресу електронної пошти всій компанії із зазначенням:

"хто з вас додав бездротовий маршрутизатор в локальну мережу, ви вбили Інтернет для всіх інших"

очікуйте, що швидка реакція зникає, або конфліктний пристрій швидко зникне :)

Вимкніть основний сервер DHCP і (пере) налаштуйте з'єднання.

Якщо ви отримаєте IP-адресу, ви отримаєте шахрая.

Якщо у вас під рукою Linux, стандартний dhcpclient повідомляє вам IP-адресу сервера DHCP (інакше ви можете нюхати трафік, щоб побачити, звідки прийшов відповідь DHCP).

Є кілька способів, якщо у вашій малій мережі найпростіший спосіб - вимкнути / відключити / відключити ваш dhcp-сервер, а потім запустити ipconfig / поновити чи подібне на клієнті, і якщо ви отримаєте та IP, у вас є щось розбійне мережа.

Інший спосіб полягає у використанні Wireshark- захоплювача / аналізатора пакетів для перегляду мережевого трафіку та пошуку DHCP-з'єднань. Існує робочий лист лабораторії про те, як це зробити звідси .

Існує також ряд доступних програм, які пропонують це зробити - це провідник DHCP, інший - зонд DHCP, про який ви згадали у своєму початковому дописі.

Ви можете використовувати RogueChecker від Microsoft:

оригінальне посилання: http://blogs.technet.com/b/teamdhcp/archive/2009/07/03/rogue-dhcp-server-detection.aspx

посилання з завантаженням: https://web.archive.org/web/20141022013752/http://blogs.technet.com/b/teamdhcp/archive/2009/07/03/rogue-dhcp-server-detection.aspx

також читайте цю інформацію:

https://social.technet.microsoft.com/wiki/contents/articles/25660.how-to-prevent-rogue-dhcp-servers-on-your-network.aspx

Ви можете проаналізувати свої мережі, а потім порівняти їх із кількістю оренди DHCP, переданою вашим сервером DHCP.

Потрібно мати загальне уявлення про кількість статичних пристроїв (можливо, інтерфейси маршрутизатора та принтери), які злегка перекосують це число, але це повинен бути швидким і точним способом їх визначення в декількох мережах.

на debian / ubuntu також є варіанти використання dhcpdumpта / або tcpdumpза допомогою напрdhclient

Використовуйте dhcpdump:

• 1.a) запустіть dhcpdump -i eth0в одній оболонці / оболонці (eth0 або назва вашого інтерфейсу)
  
• 1.b) запуск dhclientв іншій оболонці (вона не повинна працювати успішно)
  
• 1.c) загляньте у вихідну dhcpdumpінформацію (це повинен бути добре відформатований, інформативний список найбільш детальних даних)

Варіант 2, якщо ви не хочете використовувати dhcpdump:

• 2.a) запустити tcpdump -i eth0 -t -n > /tmp/my_file.txtв одній оболонці / вікні
  (необов’язково: -t= відключити часову позначку // -n= відключити роздільну здатність імені, просто IP-адресу, відсутність імен серверів (для використання RHEL / centos -nn))
• 2.b) почати dhclientв іншій оболонці (вона не повинна працювати успішно)
• 2.c) зупинити запущений tcpdump ()
• 2.d) вивчіть файл /tmp/my_file.txt з улюбленим редактором та знайдіть такі речі, як: ".53" (порт DNS за замовчуванням) / "NX" / "CNAME" / "A?" / "AAAA" -

* sidenote: tcpdump та dhcpdump, ймовірно, повинні бути встановлені (наприклад:) sudo apt get install tcpdump dhcpdump; dhcpdump залежить від tcpdump

Я пропоную запустити два термінали, один для моніторингу та інший для надсилання запиту. Terminal1 покаже відповіді з усіх існуючих серверів DHCP, включаючи MAC-адресу. Цей приклад був запущений на Ubuntu:

Термінал1 (для моніторингу):

sudo tcpdump -nelt udp порт 68 | grep -i "завантаження. * відповідь"

tcpdump: багатослідовий вихід придушений, використовуйте -v або -vv для повного прослуховування декодування протоколу на enp2s0, тип посилання EN10MB (Ethernet), розмір захоплення 262144 байт 20: a6: 80: f9: 12: 2f> ff: ff: ff: ff: ff: ff, ефірний IPv4 (0x0800), довжина 332: 192.168.1.1.67> 255.255.255.255.68: BOOTP / DHCP, відповідь, довжина 290 00: 23: cd: c3: 83: 8a> ff: ff : ff: ff: ff: ff, ефір IPv4 (0x0800), довжина 590: 192.168.1.253.67> 255.255.255.255.68: BOOTP / DHCP, Відповідь, довжина 548

Термінал2 (для надсилання запиту):

sudo nmap - сценарій трансляції-dhcp-Discover -e eth0

Починаючи з Nmap 7.01 ( https://nmap.org ) в 2019-10-13 21:21 Результати сценарію попереднього сканування EEST: | мовлення-dhcp-виявити: | Відповідь 1 із 1: | IP пропонується: 192.168.1.228 | Тип повідомлення DHCP: DHCPOFFER | Час оренди IP-адреси: 2h00m00s | Ідентифікатор сервера: 192.168.1.1 | Маска підмережі: 255.255.255.0 | Маршрутизатор: 192.168.1.1 | _ Сервер доменних імен: 8.8.8.8, 8.8.4.4 УВАГА: Цілі не вказано, тому 0 хостів скановано. Nmap зроблено: 0 IP-адрес (0 хостів вгору) скановано за 0,94 секунди

Цей термінал моніторингу потрібен лише для того, щоб побачити всі відповіді (nmap може показати лише першу відповідь).