Início / server / Perguntas / 8526
Accepted
l0c0b0x
Asked: 2009-05-16 00:12:28 +0800 CST

Como descubro se há um servidor DHCP não autorizado na minha rede?

  • 772

Qual é a melhor abordagem para determinar se tenho um servidor DHCP não autorizado dentro da minha rede?

Eu estou querendo saber como a maioria dos administradores aborda esses tipos de problemas. Encontrei o DHCP Probe pesquisando e pensei em experimentá-lo. Alguém já teve experiência com isso? (Eu gostaria de saber antes de tomar o tempo para compilá-lo e instalá-lo).

Você conhece alguma ferramenta útil ou prática recomendada para encontrar servidores DHCP não autorizados?

networking dhcp

15 respostas

  1. Best Answer

    Um método simples é simplesmente executar um sniffer como tcpdump/wireshark em um computador e enviar uma solicitação DHCP. Se você vir outras ofertas que não sejam do seu servidor DHCP real, saberá que tem um problema.

    • 59

  2. Para recapitular e adicionar a algumas das outras respostas:

    Desative temporariamente seu servidor DHCP de produção e veja se outros servidores respondem.

    Você pode obter o endereço IP do servidor executando ipconfig /allem uma máquina Windows e, em seguida, obter o endereço MAC procurando esse endereço IP usando arp -a.

    Em um Mac, execute ipconfig getpacket en0(ou en1). Consulte http://www.macosxhints.com/article.php?story=20060124152826491 .

    As informações do servidor DHCP geralmente estão em /var/log/messages.sudo grep -i dhcp /var/log/messages*

    Desativar seu servidor DHCP de produção pode não ser uma boa opção, é claro.

    Use uma ferramenta que procure especificamente por servidores DHCP não autorizados

    Consulte http://en.wikipedia.org/wiki/Rogue_DHCP para obter uma lista de ferramentas (muitas das quais foram listadas em outras respostas).

    Configurar switches para bloquear ofertas DHCP

    A maioria dos switches gerenciados pode ser configurada para evitar servidores DHCP não autorizados:

    • 24

  3. dhcpdump , que recebe o formulário de entrada tcpdump e mostra apenas os pacotes relacionados ao DHCP. Ajudou-me a encontrar o Windows com rootkit, posando como DHCP falso em nossa LAN.

    • 19

  4. As abordagens Wireshark / DHCP explorer / DHCP Probe são boas para uma verificação única ou periódica. No entanto, eu recomendo olhar para o suporte DHCP Snooping em sua rede. Esse recurso fornecerá proteção constante contra servidores DHCP não autorizados na rede e é suportado por muitos fornecedores de hardware diferentes.

    Aqui está o conjunto de recursos conforme indicado nos documentos da Cisco .

    • Valida mensagens DHCP recebidas de fontes não confiáveis ​​e filtra mensagens inválidas.

    • Limita a taxa de tráfego DHCP de fontes confiáveis ​​e não confiáveis.

    • Cria e mantém o banco de dados de ligação de espionagem DHCP, que contém informações sobre hosts não confiáveis ​​com endereços IP concedidos.

    • Utiliza o banco de dados de ligação de espionagem DHCP para validar solicitações subsequentes de hosts não confiáveis.

    • 16

  5. dhcploc.exe é a maneira mais rápida e prática em sistemas Windows. Está disponível nas Ferramentas de Suporte XP. As Ferramentas de Suporte estão em todos os discos OEM/Varejo XP, mas podem ou não estar em "discos de recuperação" fornecidos por alguns OEMs. Você também pode baixá -los do MS.

    É uma ferramenta de linha de comando simples. Você executa dhcploc {yourIPaddress} e, em seguida, pressiona a tecla 'd' para fazer uma descoberta falsa. Se você deixá-lo em execução sem pressionar nenhuma tecla, ele exibirá todas as solicitações de DHCP e responderá. Pressione 'q' para sair.

    • 11

  6. Sugiro iniciar dois terminais, um para monitoramento e outro para envio de solicitação. O Terminal1 mostrará as respostas de todos os servidores DHCP existentes, incluindo o endereço MAC. Este exemplo foi executado no Ubuntu:

    Terminal1 (para monitoramento):

    sudo tcpdump -nelt udp port 68 | grep -i "boot.*reply"

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:a6:80:f9:12:2f > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 332: 192.168.1.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 290
00:23:cd:c3:83:8a > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 590: 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 548

    Terminal2 (para enviar uma solicitação):

    sudo nmap --script broadcast-dhcp-discover -e eth0

    Starting Nmap 7.01 ( https://nmap.org ) at 2019-10-13 21:21 EEST
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.228
|     DHCP Message Type: DHCPOFFER
|     IP Address Lease Time: 2h00m00s
|     Server Identifier: 192.168.1.1
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|_    Domain Name Server: 8.8.8.8, 8.8.4.4
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 0.94 seconds

    Esse terminal de monitoramento é necessário apenas para ver todas as respostas (o nmap é capaz de mostrar apenas a primeira resposta).

    • 11

  7. Scapy é uma ferramenta de criação de pacotes baseada em python que é boa para essas tarefas de classificação. Há um exemplo de como fazer exatamente isso aqui .

    • 10

  8. Para expandir o comentário de l0c0b0x sobre o uso bootp.type == 2como filtro. O filtro bootp.type só está disponível no Wireshark/tshark. Não está disponível no tcpdump que a localização contextual de seu comentário me inclinou a acreditar.

    Tshark funciona perfeitamente para isso.

    Temos nossa rede dividida em vários domínios de transmissão, cada um com sua própria sonda baseada em Linux com um ponto de presença no domínio de transmissão "local" e em uma sub-rede administrativa de uma forma ou de outra. O Tshark combinado com o ClusterSSH me permite procurar facilmente o tráfego DHCP ou (qualquer outra coisa) nos cantos mais distantes da rede.

    Isso encontrará respostas DHCP usando o Linux:

    # ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'
    • 9

  9. uma vez que você estabeleceu que há um servidor dhcp desonesto na rede, encontrei a maneira mais rápida de resolvê-lo...

    Envie uma rodada de e-mail para toda a empresa dizendo:

    "qual de vocês adicionou um roteador sem fio na LAN, você matou a internet para todos os outros"

    espere uma resposta tímida ou que o dispositivo conflitante desapareça rapidamente :)

    • 7

  10. Desabilite o servidor DHCP principal e (re)configure uma conexão.

    Se você obtiver um endereço IP, você tem um ladino.

    Se você tiver um Linux à mão, o dhcpclient padrão informa o endereço IP do servidor DHCP (caso contrário, você pode farejar o tráfego para ver de onde veio a resposta DHCP).

    • 3

relate perguntas