Vraag Hoe vind ik of er een rogue DHCP-server op mijn netwerk is?


Wat is de beste benadering om te bepalen of ik een rogue DHCP-server in mijn netwerk heb?

Ik vraag me af hoe de meeste admins dit soort problemen benaderen. ik vond DHCP-probe door te zoeken en erover na te denken om het uit te proberen. Heeft iemand er ervaring mee gehad? (Ik zou graag willen weten voordat ik de tijd neem om het te compileren en te installeren).

Kent u nuttige tools of best-practices voor het vinden van malafide DHCP-servers?


87
2018-05-15 08:12


oorsprong


MS Tool en zeer eenvoudig te gebruiken! Rogue DHCP-server detectie - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/... - aa.malta
Ik heb een officiële verwijzing gevonden naar uw link aa.malta op social.technet.microsoft.com/wiki/contents/articles/... maar de link lijkt niet meer te werken vanaf 2016. Het laat me blogberichten zien uit 2009, maar ik zie alleen berichten voor 6 juli en 29 juni. Er lijkt geen bericht van 3 juli te zijn, zoals aangegeven door de URL van de link die je Geplaatst. Lijkt erop dat MS het heeft verwijderd voor wie weet wat de reden is. - Daniel
Het lijkt erop dat deze directe link (die ik op een WordPress-website vond) werkt om het bestand van een Microsoft-server te downloaden. Link werkt vanaf januari 2016. Aangezien de URL Microsoft is, heb ik het gevoel te vertrouwen, maar ik kan geen garanties geven: blogs.technet.com/cfs-file.ashx/__key/... - Daniel


antwoorden:


Een eenvoudige methode is om eenvoudig een sniffer zoals tcpdump / wireshark op een computer uit te voeren en een DHCP-verzoek te verzenden. Als u andere aanbiedingen dan van uw echte DHCP-server ziet, weet u dat u een probleem ondervindt.


53
2018-05-15 08:31



Helpt het volgende filter te gebruiken: "bootp.type == 2" (om alleen DHCP-aanbiedingen weer te geven en te zien of er een reactie is van verschillende / onbekende bronnen) - l0c0b0x
Gebruik een programma zoals DHCP-Find (softpedia.com/get/Network-Tools/Network-IP-Scanner/...) in combinatie met TCPDump / Wireshark om DHCP-responsen te activeren. - saluce
Kun je een meer specifieke oplossing aanbieden? - tarabyte
@tarabyte Ik weet niet zeker welke oplossing ik of improvisaties ik moet aanbieden. Ik denk dat deze vraag behoorlijk goed wordt behandeld door de twaalf andere goede antwoorden? Mijn go-optie deze dagen is om gewoon je schakelaars te configureren om DHCP te blokkeren zoals Jason Luther suggereerde. Was er iets specifieks dat beter moest worden afgedekt? - Zoredache
Ik verwachtte meer van een opeenvolging van commando's die gebruik maken van tcpdump, arp, enz. met expliciete parameters en uitleg van die parameters. - tarabyte


Om samen te vatten en toe te voegen aan enkele van de andere antwoorden:

Schakel tijdelijk uw productie-DHCP-server uit en kijk of andere servers reageren. 

U kunt het IP-adres van de server verkrijgen door het uit te voeren ipconfig /all op een Windows-machine, en dan kunt u het MAC-adres verkrijgen door dat IP-adres te zoeken met arp -a.

Op een Mac, uitvoeren ipconfig getpacket en0 (of en1). Zien http://www.macosxhints.com/article.php?story=20060124152826491.

De informatie van de DHCP-server bevindt zich meestal in / var / log / messages. sudo grep -i dhcp /var/log/messages*

Het uitschakelen van uw productie-DHCP-server is natuurlijk geen goede optie.

Gebruik een tool die specifiek op zoek gaat naar rogue DHCP-servers 

Zien http://en.wikipedia.org/wiki/Rogue_DHCP voor een lijst met hulpprogramma's (waarvan er vele in andere antwoorden zijn vermeld).

Configureer switches om DHCP-aanbiedingen te blokkeren

De meeste beheerde switches kunnen worden geconfigureerd om bedrieglijke DHCP-servers te voorkomen:


21
2018-05-15 09:18





dhcpdump, dat de invoervorm heeft tcpdump en toont alleen DHCP-gerelateerde pakketten. Heeft me geholpen rootkited-Windows te vinden, die zich voordeed als valse DHCP in ons LAN.


16
2018-05-15 14:16





De benaderingen van de Wireshark / DHCP-explorer / DHCP-probe zijn goed voor een eenmalige of periodieke controle. Ik raad echter aan om ernaar te kijken DHCP-snooping ondersteuning op uw netwerk. Deze functie biedt constante bescherming tegen kwaadwillende DHCP-servers op het netwerk en wordt ondersteund door veel verschillende hardwareleveranciers.

Dit is de functieset zoals aangegeven in de Cisco-documenten.

• Valideert DHCP-berichten die zijn ontvangen van niet-vertrouwde bronnen en filtert ongeldige berichten uit.

• Rate-limits DHCP-verkeer van vertrouwde en niet-vertrouwde bronnen.

• Bouwt en onderhoudt de DHCP-snooping-bindingsdatabase, die informatie bevat over niet-vertrouwde hosts met gehuurde IP-adressen.

• Gebruikt de DHCP-snooping-bindingsdatabase om latere verzoeken van niet-vertrouwde hosts te valideren.


15
2018-05-28 23:08



Juniper's DHCP Snooping-document: juniper.net/techpubs/en_US/junos9.2/topics/concept/...  ProCurve's DHCP-snooping: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/... - sclarson


dhcploc.exe is de snelste en handigste manier op Windows-systemen. Het is beschikbaar in de XP Support Tools. De supporttools staan ​​op elke OEM / retail XP-schijf, maar kunnen zich op sommige "herstelschijven" van sommige OEM's bevinden. Je kan ook downloaden ze van MS.

Het is een eenvoudige commandoregel. Jij rent dhcploc {yourIPaddress} en druk vervolgens op de 'd'-toets om een ​​valse ontdekking te doen. Als u het laat draaien zonder op een toets te drukken, zal dit elke DHCP-aanvraag weergeven en beantwoorden. Druk op 'q' om te stoppen.


10
2018-05-15 10:31



Gewoon gebruikt in combinatie met het doden van individuele switch-poorten om een ​​sneaky rogue-server op te sporen. Goed spul! - DHayes
U kunt DHCPloc.exe nog steeds gebruiken op Windows 7: 1. Download "Ondersteuningstools voor Windows XP Service Pack 2" van [hier] [1]. 2. Klik met de rechtermuisknop op het uitvoerbare bestand en selecteer Eigenschappen-> Compatibiliteit, schakel Compatibiliteitsmodus in en stel in op "Windows XP (Service Pack 3)". 3. Installeer zoals normaal. DHCPLoc.exe werkt goed met mijn Win7 x64-installatie. [1]: microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
Ik heb net gemerkt dat je alleen het uitvoerbare bestand van de volgende locatie kunt downloaden en het werkt prima onder Win 10 x64: gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


Scapy is een op python gebaseerd packet crafting tool die goed is voor deze soort taken. Er is een voorbeeld van hoe precies dit te doen hier.


9
2017-08-24 23:48



Wauw, ik vind Scapy zo krachtig nadat ik er enkele dagen in heb doorgebracht. Het overtreft de waardeloze tools zoals dhcpfind.exe en dhcploc.exe. Scapy 2.2 kan onder Linux en Windows draaien - ik heb het allebei geprobeerd. De enige barrière is dat je de programmeertaal Python tot op zekere hoogte moet kennen om zijn kracht te benutten. - Jimm Chen
De link die je hebt geplaatst is verbroken - Jason S
@JasonS Hallo Ik heb de koppeling bijgewerkt, maar het wijzigen is in afwachting van peer review ... In afwachting kunt u het hier vinden: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


Om verder te gaan l0c0b0x's opmerking over het gebruik bootp.type == 2 als een filter. Het bootp.type filter is alleen beschikbaar in Wireshark / tshark. Het is niet beschikbaar in tcpdump waarvan de contextuele locatie van zijn commentaar mij geneigd leek te geloven.

Tshark werkt hiervoor perfect.

We hebben ons netwerk opgedeeld in verschillende broadcastdomeinen, elk met hun eigen op Linux gebaseerde probe met een aanwezigheidspunt in het "lokale" broadcastdomein en op een administratief subnet op de een of andere manier. Tshark gecombineerd met ClusterSSH staat me toe om eenvoudig naar DHCP-verkeer of (wat dan ook) te zoeken op de verder uitgespreide hoeken van het netwerk.

Dit zal DHCP-antwoorden vinden met behulp van Linux:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



Zeer nuttig, ik heb heel wat tijd besteed aan het proberen uit te zoeken waarom ik het kreeg tcpdump: syntax error. Heeft er zelfs een vraag over geplaatst, je antwoord heeft me gedeblokkeerd, bedankt! networkengineering.stackexchange.com/questions/39534/... - Elijah Lynn
Ook denk ik dat er iets is veranderd met de -R <Read filter>. ik krijg tshark: -R without -2 is deprecated. For single-pass filtering use -Y.. -Y werkt goed. - Elijah Lynn


als je eenmaal hebt vastgesteld dat er een schurkenstaten dhcp server op het netwerk is, vond ik de snelste manier om het op te lossen was ...

Stuur een e-mailronde naar het hele bedrijf en zeg:

"wie van jullie een draadloze router in het LAN heeft toegevoegd, je hebt internet voor alle anderen gedood"

verwacht een schaapachtig antwoord of het conflicterende apparaat verdwijnt snel :)


6
2018-05-15 08:28





Schakel de hoofd-DHCP-server uit en (her) configureer een verbinding.

Als je een IP-adres krijgt, heb je een bedrieger.

Als je Linux bij de hand hebt, geeft de standaard DHcpclient je het IP-adres van de DHCP-server (anders kun je het verkeer opsnuiven om te zien waar het DHCP-antwoord vandaan kwam).


3
2018-05-15 12:05



Hoewel dit vanzelfsprekend zou werken, is het stoppen van een productie-DHCP-server waarschijnlijk niet de beste aanpak als u zich echt zorgen maakt het leveren van de service... - Massimo
Dit is afhankelijk van het aantal mensen dat u serveert. Je kunt de service in de meeste gevallen een paar minuten verstoren en niemand zal het merken, vooral niet midden in de dag dat de meeste mensen al een leaseovereenkomst hebben. - Vinko Vrsalovic