Soru Ağımda sahtekar bir DHCP sunucusu olup olmadığını nasıl bulabilirim?


Ağımda dolandırıcı bir DHCP sunucum olup olmadığını belirlemenin en iyi yolu nedir?

Yöneticilerin çoğu bu tür problemlere nasıl yaklaştığını merak ediyorum. buldum DHCP Probu arama yaparak ve onu denemeyi düşündüm. Onunla deneyime sahip olan var mı? (Derlemek ve kurmak için zaman ayırmadan önce bilmek isterim).

Hileli DHCP sunucularını bulmak için herhangi bir yararlı araç veya en iyi uygulama biliyor musunuz?


87
2018-05-15 08:12


Menşei


MS Aracı ve kullanımı çok basit! Rogue DHCP Sunucusu algılama - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/... - aa.malta
Link aa.malta adresinden resmi bir referans buldum. social.technet.microsoft.com/wiki/contents/articles/... ancak bağlantı artık 2016'dan beri çalışmıyor. Bu, 2009'dan beri blog gönderilerini gösteriyor, ancak sadece 6 Temmuz ve 29 Haziran'daki yayınları görüyorum. Bağlantı URL'si tarafından belirtildiği gibi 3 Temmuz tarihli bir yayın görünmüyor. gönderildi. MS'in nedenini bildiği için çıkardığı gibi görünüyor. - Daniel
(Bu bir wordpress sitesinde bulduğum) bu doğrudan bağlantı, dosyayı bir Microsoft Server'dan indirmeye çalışır. Link, Ocak 2016 itibariyle çalışıyor. URL Microsoft olduğundan, güvenilebilir olduğunu hissediyorum, ancak hiçbir garanti vermiyorum: blogs.technet.com/cfs-file.ashx/__key/... - Daniel


Cevaplar:


Basit bir yöntem, bir bilgisayarda tcpdump / wireshark gibi bir sniffer çalıştırmak ve bir DHCP isteği göndermek. Gerçek DHCP sunucunuzdan başka teklifler görürseniz, o zaman bir sorun olduğunu bilirsiniz.


53
2018-05-15 08:31



Aşağıdaki filtreyi kullanmanıza yardımcı olur: "bootp.type == 2" (yalnızca DHCP teklifleri göstermek ve farklı / bilinmeyen kaynaklardan yanıt olup olmadığını görmek için) - l0c0b0x
DHCP-Find gibi bir program kullanınsoftpedia.com/get/Network-Tools/Network-IP-Scanner/...DHCP yanıtlarını tetiklemek için TCPDump / Wireshark ile birlikte. - saluce
Daha spesifik bir çözüm önerebilir misin? - tarabyte
@tarabyte Hangi çözümü veya önerileri sunmam gerektiğinden emin değilim. Bu sorunun düzinelerce diğer iyi cevaplardan oldukça iyi olduğunu düşünüyorum. Goto seçeneğim bu günlerde, anahtarlarınızı Jason Luther'ın önerdiği gibi DHCP'yi engellemek üzere yapılandırmak. Daha iyi ele alınması gereken bir şey var mıydı? - Zoredache
Kullanan bir dizi komuttan daha fazlasını bekliyordum. tcpdump, arpAçık parametrelerle ve bu parametrelerin açıklamasıyla vb. - tarabyte


Diğer cevapların bazılarını tekrarlamak ve eklemek için:

Üretim DHCP sunucunuzu geçici olarak devre dışı bırakın ve diğer sunucuların yanıt verip vermediğine bakın. 

Sunucunun IP adresini çalıştırarak alabilirsiniz. ipconfig /all bir windows makinesinde, ve sonra bu IP adresini kullanarak MAC adresini alabilirsiniz arp -a.

Mac'te koş ipconfig getpacket en0 (veya en1). Görmek http://www.macosxhints.com/article.php?story=20060124152826491.

DHCP sunucusu bilgileri genellikle / var / log / messages dizinindedir. sudo grep -i dhcp /var/log/messages*

Üretiminizi devre dışı bırakmak DHCP sunucusunun iyi bir seçenek olmayabilir elbette.

Özellikle sahte DHCP sunucularını arayan bir araç kullanın 

Görmek http://en.wikipedia.org/wiki/Rogue_DHCP araçların bir listesi için (birçoğu diğer yanıtlarda listelenmiştir).

DHCP tekliflerini engellemek için anahtarları yapılandırın

Yönetilen anahtarların çoğu, sahte DHCP sunucularını önlemek için yapılandırılabilir:


21
2018-05-15 09:18





dhcpdumpgiriş formunu alır tcpdump ve sadece DHCP ile ilgili paketleri gösterir. Köklü Windows'u bulmamıza ve LAN'ımızdaki sahte DHCP'yi oluşturmamı sağladı.


16
2018-05-15 14:16





Wireshark / DHCP explorer / DHCP Probe yaklaşımları bir kerelik veya periyodik kontrol için iyidir. Ancak, içine bakmanızı tavsiye ederim DHCP Snooping ağınızda destek. Bu özellik ağdaki sahte DHCP sunucularından sürekli koruma sağlar ve birçok farklı donanım satıcısı tarafından desteklenir.

Burada belirtilen özellik Cisco dokümanları.

• Güvenilmeyen kaynaklardan alınan DHCP iletilerini doğrular ve geçersiz iletileri filtreler.

• Güvenilir ve güvenilmeyen kaynaklardan DHCP trafiğini oran sınırları.

• Kiralanan IP adreslerine sahip güvenilmeyen ana makineler hakkında bilgi içeren DHCP gözetleme ciltleme veritabanını oluşturur ve sürdürür.

• Güvenilmeyen ana bilgisayarlardan gelen istekleri doğrulamak için DHCP gözetleme bağlayıcı veritabanını kullanır.


15
2018-05-28 23:08



Juniper's DHCP Snooping dokümanı: juniper.net/techpubs/en_US/junos9.2/topics/concept/...  ProCurve'un DHCP Snooping'i: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/... - sclarson


dhcploc.exe Windows sistemlerinde en hızlı ve en hızlı yoldur. XP Destek Araçları'nda kullanılabilir. Destek Araçları her OEM / perakende XP diskindedir, ancak bazı OEM'ler tarafından sağlanan "kurtarma diskleri" üzerinde olabilir veya olmayabilir. Sen de yapabilirsin indir MS'den onları.

Bu basit bir komut satırı aracı. Sen koş dhcploc {yourIPaddress} ve sonra sahte bir keşif yapmak için 'd' tuşuna basın. Herhangi bir tuşa basmadan çalışır durumda bırakırsanız, her DHCP isteğini görüntüler ve yanıtı duyar. Çıkmak için 'q' tuşuna basın.


10
2018-05-15 10:31



Sadece bunu, uğraştığımız sinsi bir haydut sunucusunu izlemek için bireysel anahtar portlarını öldürmekle birlikte kullandık. İyi şeyler! - DHayes
Windows 7'de DHCPloc.exe'yi kullanmaya devam edebilirsiniz: 1. "Windows XP Service Pack 2 Destek Araçları" nı buradan indirin [1]. 2. Yürütülebilir dosyayı sağ tıklatın ve Özellikler-> Uyumluluk'u seçin, ardından Uyumluluk Modunu açın ve "Windows XP (Service Pack 3)" olarak ayarlayın. 3. Normal olarak yükleyin. DHCPLoc.exe benim Win7 x64 yüklemede iyi çalışıyor. [1]: microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
Sadece aşağıdaki konumdan sadece yürütülebilir dosyayı indirebileceğinizi fark ettim ve Win 10 x64 altında gayet iyi çalışıyor: gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


Scapy, bu sıralama görevleri için iyi bir python tabanlı paket hazırlama aracıdır. Tam olarak nasıl yapılacağına dair bir örnek var. İşte.


9
2017-08-24 23:48



Vay canına, Scapy'nin birkaç güne kadar uğraştıktan sonra çok güçlü olduğunu görüyorum. Bu dhcpfind.exe ve dhcploc.exe gibi berbat araçları geçer. Scapy 2.2 Linux ve Windows üzerinde çalışabilir - İkisini de denedim. Tek bariyer, Python programlama dilini, gücünü kullanmak için bir dereceye kadar bilmeniz GEREKMEKTEDİR. - Jimm Chen
Gönderdiğiniz bağlantı bozuk - Jason S
@JasonS Merhaba Bağlantıyı güncelledim ama değişiklik beklemede beklemede ... Beklerken burada bulabilirsiniz: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


Genişletmek için l0c0b0xkullanımı hakkında yorum bootp.type == 2 bir filtre olarak. Bootp.type filtresi sadece Wireshark / tshark'ta kullanılabilir. Yorumunun bağlamsal konumunun bana inanmaya eğilimli olduğu tcpdump'ta mevcut değil.

Tshark bunun için mükemmel çalışıyor.

Ağımızın, her biri kendi "Linux" tabanlı probu olan ve "yerel" yayın alanında ve bir yönetim alt ağında bir moda veya başka bir noktada bulunan bir çok yayın alanına ayrıldık. Tshark ile birlikte ClusterSSH DHCP trafiğini veya (bu konuyla ilgili başka herhangi bir şey) ağın daha ilerideki köşelerinde kolayca aramamı sağlar.

Bu, Linux kullanarak DHCP yanıtlarını bulacaktır:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



Çok yardımsever, niçin gittiğimi anlamaya çalışırken biraz zaman geçirdim. tcpdump: syntax error. Hatta bunun üzerine bir soru gönderdim, cevabınız beni engelledi, teşekkürler! networkengineering.stackexchange.com/questions/39534/... - Elijah Lynn
Ayrıca, bence bir şey değişti -R <Read filter>. alırım tshark: -R without -2 is deprecated. For single-pass filtering use -Y.. -Y güzel çalışır. - Elijah Lynn


Bir kez kurduktan sonra ağ üzerinde dürüst bir dhcp sunucusu olduğunu çözmenin en hızlı yolunu buldum ...

Tüm şirkete bir e-posta gönderin:

"hanginiz LAN'a bir kablosuz yönlendirici eklediniz, interneti herkes için öldürdünüz"

Bir çorak tepkinin veya çelişen aygıtın hızla yok olmasını beklemek :)


6
2018-05-15 08:28





Ana DHCP sunucusunu devre dışı bırakın ve (yeniden) bir bağlantı yapılandırın.

Bir IP adresi alırsan, bir haydın var.

Eğer bir Linux kullanışınız varsa, standart dhcpclient size DHCP sunucusunun IP adresini bildirir (aksi takdirde DHCP yanıtının nereden geldiğini görmek için trafiği yakalayabilirsiniz).


3
2018-05-15 12:05



Bu elbette işe yarayacak olsa da, bir üretim DHCP sunucusunu durdurmak, muhtemelen endişe duyuyorsanız muhtemelen en iyi yaklaşım değildir. hizmet vermek... - Massimo
Hizmet verdiğiniz kişilerin miktarına bağlıdır. Çoğu durumda hizmeti birkaç dakikalığına dağıtabilirsiniz ve kimsenin fark etmeyeceği, özellikle de çoğu insanın zaten kiraladığı günün ortasında. - Vinko Vrsalovic


Küçük bir ağ çalıştırıyorsanız, en basit yol dhcp sunucunuzu kapatmak / devre dışı bırakmak / un-plug-off ve sonra çalıştırmak için birkaç yol vardır. ipconfig / yenileme veya bir müşteride benzer ve eğer IP alırsanız ve ağınızda bir şeyler vardır.

Başka bir yol kullanmaktır Wireshark ağ trafiğine bakmak ve DHCP bağlantılarını bulmak için paket capturer / analyzer, bu nasıl yapılabilir bir laboratuvar çalışma sayfası var İşte.

Bunu yapmak için orantılı olan bir dizi kullanılabilirlik vardır. DHCP gezgini diğeri, orijinal yayında belirttiğiniz DHCP probu.


3
2018-03-13 08:02





RogueChecker'ı Microsoft'tan kullanabilirsiniz:

orijinal bağlantı: http://blogs.technet.com/b/teamdhcp/archive/2009/07/03/rogue-dhcp-server-detection.aspx 

indirme ile bağlantı: https://web.archive.org/web/20141022013752/http://blogs.technet.com/b/teamdhcp/archive/2009/07/03/rogue-dhcp-server-detection.aspx 

ayrıca bu bilgileri okuyun:

https://social.technet.microsoft.com/wiki/contents/articles/25660.how-to-prevent-rogue-dhcp-servers-on-your-network.aspx 


3
2018-05-15 11:41