שאלה כיצד ניתן למצוא אם יש שרת DHCP נוכלים ברשת שלי?


מהי הגישה הטובה ביותר לקביעת אם יש לי שרת DHCP נוכלים בתוך הרשת שלי?

אני תוהה איך רוב המנהלים מתקרבים לבעיות מסוג זה. מצאתי DHCP בדיקה דרך חיפוש, וחשבתי לנסות את זה. יש למישהו ניסיון עם זה? (אני רוצה לדעת לפני לוקח את הזמן כדי לקמפל ולהתקין).

האם אתה יודע כלים שימושיים או שיטות עבודה מומלצות למציאת שרתי DHCP סוררים?


87
2018-05-15 08:12




כלי MS ופשוט מאוד לשימוש! Rogue שרת DHCP זיהוי - blogs.technet.com/b/teamdhcp/archive/2009/07/03/... - aa.malta
מצאתי הפניה רשמית לקישור שלך aa.malta ב social.technet.microsoft.com/wiki/contents/articles/...אבל הקישור כבר לא נראה לעבוד כמו של 2016. זה מראה לי הודעות בלוג מ 2009, אבל אני רואה רק הודעות עבור יולי 6 ו 29 ביוני. נראה כי אין 3 יולי הודעה כפי שצוין על ידי קישור כתובת האתר לך פורסם. נראה כאילו טרשת נפוצה הסירה אותו מי יודע מה הסיבה. - Daniel
נראה כמו קישור ישיר זה (אשר מצאתי באתר wordpress) עובד כדי להוריד את הקובץ מתוך Microsoft Server. קישור עובד החל מינואר 2016. מאז כתובת האתר היא מיקרוסופט, אני מרגיש שזה יכול להיות מהימן, אבל אני לא מבטיח: blogs.technet.com/cfs-file.ashx/__key/... - Daniel


תשובות:


שיטה אחת פשוטה היא פשוט להפעיל כוסית כמו tcpdump / wireshark במחשב ולשלוח בקשה DHCP. אם אתה רואה הצעות אחרות אז מהשרת האמיתי שלך DHCP אז אתה יודע שיש לך בעיה.


53
2018-05-15 08:31



מסייע באמצעות המסנן הבא: "bootp.type == 2" (להצגת הצעות DHCP בלבד, ולראות אם יש תגובה ממקורות שונים / לא ידועים) - l0c0b0x
השתמש בתוכנית כמו DHCP-Find (softpedia.com/get/Network-Tools/Network-IP-Scanner/...) יחד עם TCPDump / Wireshark להפעלת תגובות DHCP. - saluce
האם אתה יכול להציע פתרון ספציפי יותר? - tarabyte
@tarabyte אני לא בטוח איזה פתרון אני או improvments אני צריך להציע. אני חושב שאלה זו יש כיסוי די טוב מן תריסר תשובות טובות אחרות? האפשרות goto שלי בימים אלה היא רק להגדיר את המתגים שלך לחסום DHCP כמו ג 'ייסון לותר הציע. האם יש משהו ספציפי שצריך לכסות טוב יותר? - Zoredache
ציפיתי יותר של רצף של פקודות לעשות שימוש tcpdump, arp, וכו 'עם פרמטרים מפורשים והסבר של אותם פרמטרים. - tarabyte


לסיכום ולהוסיף לחלק מהתשובות האחרות:

השבת באופן זמני את שרת DHCP של הייצור שלך ובדוק אם שרתים אחרים מגיבים. 

אתה יכול לקבל את כתובת ה- IP של השרת על ידי הפעלת ipconfig /all על מכונת Windows, ואז אתה יכול לקבל את כתובת ה- MAC על ידי מחפש את כתובת ה- IP באמצעות arp -a.

על מק, לרוץ ipconfig getpacket en0 (או en1). ראה http://www.macosxhints.com/article.php?story=20060124152826491.

מידע שרת DHCP נמצא בדרך כלל ב- / var / log / messages. sudo grep -i dhcp /var/log/messages*

השבתת הייצור שלך שרת DHCP לא יכול להיות אפשרות טובה, כמובן.

השתמש בכלי זה במיוחד מחפש שרתי DHCP סוררים 

ראה http://en.wikipedia.org/wiki/Rogue_DHCP לרשימה של כלים (שרבים מהם נרשמו בתגובות אחרות).

הגדר בוררים לחסימת הצעות DHCP

ניתן להגדיר את רוב המתגים המנוהלים למניעת שרתי DHCP סוררים:


21
2018-05-15 09:18





dhcddump, אשר לוקח טופס קלט tcpdump ומציג רק מנות הקשורות ל- DHCP. עזור לי למצוא rootkited Windows, מתחזה כמו DHCP מזויפים LAN שלנו.


16
2018-05-15 14:16





Wireshark / DHCP Explorer / DHCP Probe גישות טובים לבדיקה חד פעמית או תקופתית. עם זאת, אני ממליץ להסתכל פנימה DHCP חטטנות תמיכה ברשת שלך. תכונה זו תספק הגנה מתמדת מפני שרתי DHCP סוררים ברשת, והיא נתמכת על ידי ספקי חומרה שונים.

הנה התכונה המוגדרת כמפורט בסעיף מסמכים של Cisco.

• אימות הודעות DHCP המתקבלות ממקורות לא מהימנים ומסנן הודעות לא חוקיות.

• מגביל את תעבורת DHCP ממקורות מהימנים ולא מהימנים.

• בונה ומתחזק את מסד הנתונים המחייב של DHCP המחייב, המכיל מידע על מארחים לא מהימנים עם כתובות IP מושכרות.

• מנצל את מסד הנתונים מחייב DHCP מחייב לאמת בקשות הבאות ממארחים לא מהימנים.


15
2018-05-28 23:08



ג'וניפר של DHCP Snooping דוק: juniper.net/techpubs/en_US/junos9.2/topics/concept/...  ProCurve של DHCP Snooping: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/... - sclarson


dhcploc.exe היא הדרך המהירה והידועה ביותר במערכות Windows. הוא זמין בכלי התמיכה של XP. כלי התמיכה הם על כל דיסק OEM / קמעונאי XP, אבל יכול או לא יכול להיות על "דיסקים התאוששות" המסופקים על ידי כמה יצרני ציוד מקורי. אתה יכול גם הורד אותם מ- MS.

זהו כלי פקודה פשוט. אתה רץ dhcploc {yourIPaddress} ולאחר מכן לחץ על המקש 'd' כדי לבצע גילוי מזויף. אם תשאיר אותו פועל מבלי ללחוץ על כל המקשים, הוא יציג כל בקשת DHCP ויענה על כך. לחץ על 'q' כדי לצאת.


10
2018-05-15 10:31



פשוט השתמשו בזה בשילוב עם הרג בודדים יציאות מתג כדי לעקוב אחר שרת נוכלים ערמומי היינו מתמודדים עם. דברים טובים! - DHayes
אתה עדיין יכול להשתמש DHCPloc.exe על Windows 7: 1. הורד "Windows XP Service Pack 2 כלי תמיכה" מ [כאן] [1]. 2. לחץ לחיצה ימנית על ההפעלה ובחר מאפיינים-> תאימות ואז להפעיל את מצב תאימות ולהגדיר אותו "Windows XP (Service Pack 3)". .3 התקן כרגיל. DHCPLoc.exe עובד בסדר על ההתקנה שלי Win7 x64. [1]: Microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
שמתי לב שאתה יכול להוריד רק את ההפעלה מן המיקום הבא וזה עובד בסדר תחת Win 10 x64: גלריית התמונות של Microsoft.DHCPLOC -Utility-34262d82 - PeterJ


Scapy הוא פיתון מבוסס מנות כלי crafting כי הוא טוב עבור אלה משימות מיון. יש דוגמה איך לעשות בדיוק את זה כאן.


9
2017-08-24 23:48



ללא שם: וואו, אני מוצא Scapy הוא כל כך חזק לאחר delving לתוכו במשך מספר ימים. זה עולה על כלי crappy כמו dhcpfind.exe ו dhcploc.exe. Scapy 2.2 יכול לרוץ על לינוקס ו- Windows - ניסיתי את שניהם. המכשול היחיד הוא שאתה צריך לדעת שפת תכנות Python במידה מסוימת כדי לרתום את כוחו. - Jimm Chen
הקישור שפרסמת נשבר - Jason S
@ JasonS היי אני כבר עדכן את הקישור, אבל שינוי הוא ממתין ביקורת עמיתים ... בזמן ההמתנה אתה יכול למצוא את זה כאן: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


כדי להרחיב l0c0b0xשל הערה על השימוש bootp.type == 2 כמסנן. מסנן bootp.type זמין רק ב- Wireshark / tshark. זה לא זמין ב tcddump אשר המיקום הקונטקסטואלי של ההערה שלו נוטה לי להאמין.

Tshark עובד בצורה מושלמת עבור זה.

יש לנו את הרשת שלנו מחולקת לתחומי שידור רבים, כל אחד עם משלהם מבוססי לינוקס בדיקה עם נקודת נוכחות על התחום "המקומית" שידור על תת רשת ניהולית זו או אחרת. טאשארק אשכולSS מאפשר לי בקלות לחפש תנועה DHCP או (כל דבר אחר לצורך העניין) על פינות נוספות של הרשת.

זה ימצא תשובות DHCP באמצעות לינוקס:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



מועיל מאוד, ביליתי קצת זמן מנסה להבין למה אני מקבל tcpdump: syntax error. אפילו פרסמה שאלה על זה, את התשובה שלך unblocked אותי, תודה! networkengineering.stackexchange.com/questions/39534/... - Elijah Lynn
כמו כן, אני חושב שמשהו השתנה עם -R <Read filter>. אני מקבל tshark: -R without -2 is deprecated. For single-pass filtering use -Y.. -Y עובד יפה. - Elijah Lynn


ברגע שיש לך הוקמה כי יש שרת dhcp נוכלים ברשת מצאתי את הדרך המהירה ביותר כדי לפתור את זה היה ...

שלח דוא"ל לכל החברה אומר:

"אשר אחד מכם הוסיף נתב אלחוטי לתוך LAN, אתה הרג את האינטרנט עבור כולם"

לצפות תגובה מבוישת, או בהתנגשות המכשיר להיעלם, מהר :)


6
2018-05-15 08:28





השבת את שרת DHCP הראשי ואת (re) להגדיר חיבור.

אם אתה מקבל כתובת IP, יש לך נוכלים.

אם יש לך לינוקס שימושי, dhcpclient רגיל אומר לך את כתובת ה- IP של שרת DHCP (אחרת אתה יכול לרחרח את התנועה כדי לראות מאיפה מגיעה התגובה DHCP).


3
2018-05-15 12:05



אמנם זה היה כמובן עבודה, עצירת שרת DHCP הייצור הוא כנראה לא הגישה הטובה ביותר אם אתה באמת מודאג מתן השירות... - Massimo
תלוי בכמות האנשים שאתה משרת. אתה יכול לשבש את השירות במשך כמה דקות ברוב המקרים ואף אחד לא שם לב, במיוחד באמצע היום, כאשר רוב האנשים יש החכירה שלהם כבר. - Vinko Vrsalovic


ישנן מספר דרכים, אם אתה מפעיל רשת קטנה הדרך הפשוטה ביותר היא לכבות / להשבית / un- תקע את שרת ה- dhcp שלך ולאחר מכן להפעיל ipconfig / חידוש או דומה על הלקוח ואם אתה מקבל ו- IP יש לך משהו רע על הרשת שלך.

דרך אחרת תהיה להשתמש ווירשארק מנות Capturer / Analyzer להסתכל על תעבורת הרשת שלך ולמצוא חיבורים DHCP, יש גליון מעבדה על איך לעשות את זה זמין מ כאן.

יש גם מספר utilies זמין אשר פרופורציה לעשות את זה הוא אחד DHCP אחרת היא בדיקה DHCP אשר הזכרת בהודעה המקורית שלך.


3
2018-03-13 08:02