Как узнать, существует ли в моей сети уязвимый DHCP-сервер?

Каков наилучший подход к определению того, есть ли у меня изгоняющий DHCP-сервер внутри моей сети?

Мне интересно, как большинство администраторов подходят к таким проблемам. Я нашел DHCP Probe через поиск и подумал о том, чтобы попробовать его. У кого-нибудь есть опыт? (Я хотел бы знать, прежде чем тратить время на его компиляцию и установку).

Знаете ли вы какие-либо полезные инструменты или лучшие практики для поиска мошеннических серверов DHCP?

87 голосов | спросил l0c0b0x 15 Maypm09 2009, 12:12:28

12 ответов


53

Один простой метод - просто запустить sniffer, например tcpdump /wireshark, на компьютер и отправить запрос DHCP. Если вы видите какие-либо предложения, отличные от вашего реального DHCP-сервера, то вы знаете, что у вас есть проблема.

ответил Zoredache 15 Maypm09 2009, 12:31:57
21

Повторить и добавить к некоторым другим ответам:

Временно отключите производственный DHCP-сервер и посмотрите, отвечают ли другие серверы.

Вы можете получить IP-адрес сервера, запустив ipconfig /all на компьютере Windows, а затем вы можете получить MAC-адрес, выбрав этот IP-адрес, используя arp -a.

На Mac запустите ipconfig getpacket en0 (или en1). См. http://www.macosxhints.com/article.php?story=20060124152826491.

Информация о сервере DHCP обычно находится в /var /log /messages. sudo grep -i dhcp /var/log/messages*

Отключение вашего DHCP-сервера может быть не очень хорошим вариантом.

Использовать инструмент, специально предназначенный для изгоев DHCP-серверов

См. http://en.wikipedia.org/wiki/Rogue_DHCP для списка инструменты (многие из которых были указаны в других ответах).

Настройка переключателей для блокировки DHCP

Большинство управляемых коммутаторов могут быть настроены для предотвращения изгоев DHCP-серверов:

ответил Zoredache 15 Maypm09 2009, 12:31:57
16

dhcpdump , который принимает входную форму tcpdump и отображает только связанные с DHCP пакеты. Помог мне найти руткит Windows, создавая поддельный DHCP в нашей локальной сети.

ответил vartec 15 Maypm09 2009, 13:18:45
15

Подходы Wireshark /DHCP explorer /DHCP Probe подходят для одноразовой или периодической проверки. Тем не менее, я бы рекомендовал посмотреть в поддержку DHCP Snooping в вашей сети. Эта функция обеспечит постоянную защиту от мошеннических DHCP-серверов в сети и поддерживается многими различными поставщиками оборудования.

Вот набор функций, как указано в Документы Cisco .

  

â € ¢ Проверяет сообщения DHCP, полученные от ненадежных источников, и отфильтровывает недопустимые сообщения.

     

¢ Ограничение трафика DHCP от надежных и ненадежных источников.

     

• Создает и поддерживает базу данных привязки DHCP, которая содержит информацию о ненадежных хостах с арендованными IP-адресами.

     

¢ Использует базу данных привязки DHCP для проверки последующих запросов от ненадежных хостов.

ответил Dave K 15 Maypm09 2009, 18:16:55
10

dhcploc.exe является самым быстрым и самый удобный способ для систем Windows. Он доступен в инструментах поддержки XP. Инструменты поддержки находятся на каждом диске OEM /retail XP, но могут быть или не быть на «дисках восстановления», предоставляемых некоторыми OEM-производителями. Вы также можете скачать их от MS.

Это простой инструмент командной строки. Вы запускаете dhcploc {yourIPaddress} , а затем нажмите клавишу 'd', чтобы сделать поддельное обнаружение. Если вы оставите его без нажатия каких-либо клавиш, он отобразит каждый запрос DHCP и ответит на него. Нажмите «q», чтобы выйти.

ответил quux 29 Mayam09 2009, 03:08:12
9

Scapy - это инструмент для создания пакетов на основе python, который хорош для этих задач сортировки. Ниже приведен пример того, как это сделать здесь .

ответил Kyle Brandt 15 Maypm09 2009, 14:31:45
6

Чтобы развернуть комментарий l0c0b0x об использовании bootp.type == 2 как фильтр. Фильтр bootp.type доступен только в Wireshark /tshark. В tcpdump он недоступен, и контекстуальное расположение его комментария склоняло меня к мысли.

Tshark отлично работает для этого.

У нас есть сеть, разделенная на многочисленные широковещательные домены, каждая из которых имеет свой собственный Linux-зонд с точкой присутствия в «локальном» широковещательном домене и в административной подсети так или иначе. Tshark в сочетании с ClusterSSH позволяет мне легко искать трафик DHCP или (что-нибудь еще в этом случае) на дальнейших отброшенных углах сети.

Это найдет ответы DHCP с помощью Linux:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'
ответил kce 25 AM00000030000002731 2011, 03:48:27
6

после того, как вы установили, что в сети есть мошеннический сервер dhcp, я нашел самый быстрый способ его решения ...

Отправьте письмо по электронной почте всей компании, говоря:

", который один из вас добавил в маршрутизатор беспроводной маршрутизатор, вы убили Интернет для всех остальных.

ожидайте, что застенчивый ответ или конфликтующее устройство исчезнут быстро:)

ответил Shh now 14 FebruaryEurope/MoscowbTue, 14 Feb 2012 14:57:11 +0400000000pmTue, 14 Feb 2012 14:57:11 +040012 2012, 14:57:11
3

Отключите главный DHCP-сервер и (повторно) настройте соединение.

Если вы получаете IP-адрес, у вас есть мошенник.

Если у вас Linux под рукой, стандартный dhcpclient сообщает вам IP-адрес DHCP-сервера (иначе вы можете обнюхать трафик, чтобы увидеть, откуда пришел ответ DHCP).

ответил Vinko Vrsalovic 15 Maypm09 2009, 12:28:18
3

Существует несколько способов, если вы используете небольшую сеть, самый простой способ - отключить /отключить /отключить ваш сервер dhcp, а затем запустить ipconfig /renew или аналогичные на клиенте, и если вы получаете и IP, у вас есть что-то в вашей сети.

Другим способом было бы использовать Wireshark захват /анализатор пакетов, чтобы посмотреть на ваш сетевой трафик и найти DHCP есть рабочий лист лаборатории о том, как сделать это доступным из здесь .

Существует также ряд доступных для использования utilies, которые пропорциональны этому: DHCP-проводник другой - это DHCP-зонд, который вы упомянули в своем первоначальном сообщении.

ответил Jona 15 Maypm09 2009, 16:05:06
3
ответил juFo 13 MaramMon, 13 Mar 2017 11:02:55 +03002017-03-13T11:02:55+03:0011 2017, 11:02:55
2

Вы можете выполнить прокрутку ping своих сетей, а затем сравнить это с количеством аренды DHCP, выданным вашим сервером DHCP.

У вас должно быть общее представление о количестве статических устройств (возможно, интерфейсов маршрутизатора и принтеров), которые немного исказили бы этот номер, но это должен быть быстрый и точный способ их идентификации по нескольким сетям.

ответил Peter 15 Maypm09 2009, 15:41:27

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132