Вопрос: Как узнать, существует ли в моей сети уязвимый DHCP-сервер?


Каков наилучший подход к определению того, есть ли у меня изгоя DHCP-сервер внутри моей сети?

Мне интересно, как большинство администраторов подходят к таким проблемам. я нашел Зонд DHCP через поиск, и подумал о том, чтобы попробовать его. У кого-нибудь есть опыт? (Я хотел бы знать, прежде чем тратить время на его сборку и установку).

Знаете ли вы какие-либо полезные инструменты или лучшие практики для поиска мошеннических DHCP-серверов?


87
2018-05-15 08:12


Источник


MS Tool и очень проста в использовании! Обнаружение Rogue DHCP-сервера - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/... - aa.malta
Я нашел официальную ссылку на вашу ссылку aa.malta at social.technet.microsoft.com/wiki/contents/articles/... но ссылка больше не работает с 2016 года. Она показывает мне сообщения в блогах с 2009 года, но я вижу только сообщения за 6 июля и 29 июня. Кажется, что не было сообщения от 3 июля, как указано URL-адресом ссылки вывешенный. Похоже, что MS удалила его, кто знает, в чем причина. - Daniel
Похоже, эта прямая ссылка (которую я нашел на сайте Wordpress) работает для загрузки файла с сервера Microsoft. Link работает с января 2016 года. Поскольку URL-адрес Microsoft является Microsoft, я считаю, что ему можно доверять, но я не гарантирую: blogs.technet.com/cfs-file.ashx/__key/... - Daniel


Ответы:


Один простой метод - просто запустить sniffer, например tcpdump / wireshark, на компьютер и отправить запрос DHCP. Если вы видите какие-либо предложения, отличные от вашего реального DHCP-сервера, то вы знаете, что у вас есть проблема.


53
2018-05-15 08:31



Помогает использовать следующий фильтр: «bootp.type == 2» (только для показа DHCP-предложений и просмотра ответов от разных / неизвестных источников) - l0c0b0x
Используйте программу, такую ​​как DHCP-Find (softpedia.com/get/Network-Tools/Network-IP-Scanner/...) в сочетании с TCPDump / Wireshark для запуска DHCP-ответов. - saluce
Можете ли вы предложить более конкретное решение? - tarabyte
@tarabyte Я не уверен, какое решение я или улучшил бы я предложить. Я думаю, этот вопрос имеет довольно хорошее освещение из дюжины других хороших ответов? Мой вариант goto в эти дни - это просто настроить ваши коммутаторы для блокировки DHCP, как предположил Джейсон Лютер. Было ли что-то конкретное, что нужно было лучше покрыть? - Zoredache
Я ожидал больше последовательности команд, которые используют tcpdump, arpи т. д. с явными параметрами и объяснением этих параметров. - tarabyte


Чтобы повторить и добавить к некоторым другим ответам:

Временно отключите производственный DHCP-сервер и проверьте, отвечают ли другие серверы. 

Вы можете получить IP-адрес сервера, выполнив ipconfig /all на компьютере с Windows, а затем вы можете получить MAC-адрес, ища этот IP-адрес, используя arp -a,

На Mac, запустите ipconfig getpacket en0 (или en1). Видеть http://www.macosxhints.com/article.php?story=20060124152826491,

Информация о DHCP-сервере обычно находится в / var / log / messages. sudo grep -i dhcp /var/log/messages*

Разумеется, отключение вашего DHCP-сервера может быть хорошим вариантом.

Используйте инструмент, специально предназначенный для изгоев DHCP-серверов 

Видеть http://en.wikipedia.org/wiki/Rogue_DHCP для списка инструментов (многие из которых были указаны в других ответах).

Настройка переключателей для блокировки DHCP-предложений

Большинство управляемых коммутаторов можно настроить для предотвращения изгоев DHCP-серверов:


21
2018-05-15 09:18





dhcpdump, который принимает входную форму ТСРйитр и показывает только пакеты, связанные с DHCP. Помог мне найти руткит Windows, создавая поддельный DHCP в нашей локальной сети.


16
2018-05-15 14:16





Подходы Wireshark / DHCP explorer / DHCP Probe подходят для одноразовой или периодической проверки. Однако я бы рекомендовал изучить Отслеживание DHCP поддержки в вашей сети. Эта функция обеспечит постоянную защиту от мошеннических DHCP-серверов в сети и поддерживается многими различными поставщиками оборудования.

Вот набор функций, как указано в Документы Cisco,

• Проверяет сообщения DHCP, полученные из ненадежных источников, и отфильтровывает недопустимые сообщения.

• Ограничение скорости трафика DHCP из надежных и ненадежных источников.

• Создает и поддерживает базу данных привязки DHCP snooping, которая содержит информацию о ненадежных хостах с арендованными IP-адресами.

• Использует базу данных привязки отслеживания DHCP для проверки последующих запросов от ненадежных хостов.


15
2018-05-28 23:08



Протокол DHCP Snooping от Juniper: juniper.net/techpubs/en_US/junos9.2/topics/concept/...  ProCurve's DHCP Snooping: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/... - sclarson


dhcploc.exe является самым быстрым и удобным способом в системах Windows. Он доступен в инструментах поддержки XP. Инструменты поддержки находятся на каждом диске OEM / retail XP, но могут быть или не быть на «дисках восстановления», предоставляемых некоторыми OEM-производителями. Вы также можете скачать их от MS.

Это простой инструмент командной строки. Ты бежишь dhcploc {yourIPaddress} а затем нажмите клавишу «d», чтобы сделать ложное открытие. Если вы оставите его без нажатия каких-либо клавиш, он отобразит каждый запрос DHCP и ответит на него. Нажмите «q», чтобы выйти.


10
2018-05-15 10:31



Просто использовал это в сочетании с убийством отдельных портов коммутатора для отслеживания скрытого сервера-жулика, с которым мы имели дело. Хорошая вещь! - DHayes
Вы по-прежнему можете использовать DHCPloc.exe в Windows 7: 1. Загрузите «Инструменты поддержки Windows XP Service Pack 2» из [здесь] [1]. 2. Щелкните правой кнопкой мыши исполняемый файл и выберите «Свойства-> Совместимость», затем включите режим совместимости и установите его в «Windows XP (Service Pack 3)». 3. Установите как обычно. DHCPLoc.exe отлично работает на моей установке Win7 x64. [1]: microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
Я просто заметил, что вы можете загрузить только исполняемый файл из следующего местоположения, и он отлично работает под Win 10 x64: gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


Scapy - это инструмент для создания пакетов на основе python, который хорош для этих задач сортировки. Пример того, как это сделать Вот,


9
2017-08-24 23:48



Ничего себе, я нахожу Скапи настолько мощным, что в течение нескольких дней вникаю в него. Он превосходит дрянные инструменты, такие как dhcpfind.exe и dhcploc.exe. Scapy 2.2 может работать на Linux и Windows - я пробовал оба. Единственным препятствием является то, что вы должны знать язык программирования Python в некоторой степени, чтобы использовать его силу. - Jimm Chen
Ссылка, которую вы опубликовали, сломана - Jason S
@JasonS Привет, я обновил ссылку, но изменение находится в ожидании экспертной оценки ... Пока вы можете ее найти здесь: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


Чтобы расширить l0c0b0xкомментарий об использовании bootp.type == 2 как фильтр. Фильтр bootp.type доступен только в Wireshark / tshark. В tcpdump он недоступен, и контекстуальное расположение его комментария склоняло меня к мысли.

Тшарк отлично подходит для этого.

У нас есть сеть, разделенная на множество широковещательных доменов, каждая из которых имеет свой собственный Linux-зонд с точкой присутствия в «локальном» широковещательном домене и в административной подсети так или иначе. Тшарк в сочетании с ClusterSSH позволяет мне легко искать DHCP-трафик или (что-то еще в этом случае) на дальнейших углах сети.

Это найдет ответы DHCP с использованием Linux:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



Очень полезно, я потратил довольно много времени, пытаясь понять, почему я получаю tcpdump: syntax error, Даже разместил на нем вопрос, ваш ответ разблокировал меня, спасибо! networkengineering.stackexchange.com/questions/39534/... - Elijah Lynn
Кроме того, я думаю, что что-то изменилось с -R <Read filter>, я получил tshark: -R without -2 is deprecated. For single-pass filtering use -Y., -Y работает красиво. - Elijah Lynn


как только вы установили, что в сети есть мошеннический сервер dhcp, я нашел самый быстрый способ его решения ...

Отправьте письмо по электронной почте всей компании, говоря:

«который один из вас добавил беспроводной маршрутизатор в ЛВС, вы убили Интернет для всех остальных»,

ожидайте отвратительный ответ, или конфликтующее устройство, чтобы исчезнуть, быстро :)


6
2018-05-15 08:28