Question Comment savoir s'il existe un serveur DHCP non autorisé sur mon réseau?


Quelle est la meilleure approche pour déterminer si j'ai un serveur DHCP non autorisé dans mon réseau?

Je me demande comment la plupart des administrateurs abordent ce genre de problèmes. j'ai trouvé Sonde DHCP à travers la recherche, et pensé à l'essayer. Quelqu'un en at-il déjà fait l'expérience? (J'aimerais savoir avant de prendre le temps de le compiler et de l'installer).

Connaissez-vous des outils utiles ou des pratiques recommandées pour la recherche de serveurs DHCP non autorisés?


87
2018-05-15 08:12


origine


MS Tool et très simple à utiliser! Détection de serveur DHCP non autorisé - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/… - aa.malta
J'ai trouvé une référence officielle à votre lien aa.malta à l'adresse social.technet.microsoft.com/wiki/contents/articles/…mais le lien ne semble plus fonctionner à partir de 2016. Il montre les billets de blog de 2009, mais je ne vois que les messages des 6 juillet et 29 juin. Il ne semble pas y avoir de message du 3 juillet, comme l'indique l'URL du lien. posté. On dirait que MS l'a enlevé pour qui sait quelle raison. - Daniel
On dirait que ce lien direct (que j'ai trouvé sur un site wordpress) fonctionne pour télécharger le fichier à partir d'un serveur Microsoft. Link fonctionne depuis janvier 2016. L'URL étant Microsoft, je pense que l'on peut y faire confiance, mais je ne donne aucune garantie: blogs.technet.com/cfs-file.ashx/__key/… - Daniel


Réponses:


Une méthode simple consiste simplement à exécuter un renifleur tel que tcpdump / wireshark sur un ordinateur et à envoyer une requête DHCP. Si vous voyez des offres autres que celles de votre vrai serveur DHCP, alors vous savez que vous avez un problème.


53
2018-05-15 08:31



Aide en utilisant le filtre suivant: "bootp.type == 2" (pour ne montrer que les offres DHCP et voir s'il y a une réponse de sources différentes / inconnues) - l0c0b0x
Utilisez un programme tel que DHCP-Find (softpedia.com/get/Network-Tools/Network-IP-Scanner/…) en conjonction avec TCPDump / Wireshark pour déclencher des réponses DHCP. - saluce
Pouvez-vous offrir une solution plus spécifique? - tarabyte
@tarabyte Je ne suis pas sûr de la solution ou des améliorations à offrir. Je pense que cette question a une assez bonne couverture de la douzaine d'autres bonnes réponses? Mon option goto ces jours-ci est de simplement configurer vos commutateurs pour bloquer DHCP comme l'a suggéré Jason Luther. Y avait-il quelque chose de spécifique qui devait être mieux couvert? - Zoredache
Je m'attendais à plus d'une séquence de commandes qui utilisent tcpdump, arp, etc. avec des paramètres explicites et une explication de ces paramètres. - tarabyte


Pour récapituler et ajouter à certaines des autres réponses:

Désactivez temporairement votre serveur DHCP de production et vérifiez si d'autres serveurs répondent. 

Vous pouvez obtenir l'adresse IP du serveur en exécutant ipconfig /all sur une machine Windows, et alors vous pouvez obtenir l'adresse MAC en recherchant cette adresse IP en utilisant arp -a.

Sur un Mac, lancez ipconfig getpacket en0 (ou en1). Voir http://www.macosxhints.com/article.php?story=20060124152826491.

Les informations sur le serveur DHCP se trouvent généralement dans / var / log / messages. sudo grep -i dhcp /var/log/messages*

Désactiver votre serveur DHCP de production peut ne pas être une bonne option, bien sûr.

Utilisez un outil qui recherche spécifiquement les serveurs DHCP non autorisés 

Voir http://en.wikipedia.org/wiki/Rogue_DHCP pour une liste d'outils (dont beaucoup ont été énumérés dans d'autres réponses).

Configurer les commutateurs pour bloquer les offres DHCP

La plupart des commutateurs gérés peuvent être configurés pour empêcher les serveurs DHCP non autorisés:


21
2018-05-15 09:18





dhcpdump, qui prend la forme de saisie tcpdump et ne montre que les paquets liés à DHCP. M'a aidé à trouver Windows rootkited, en se faisant passer pour un faux DHCP sur notre réseau local.


16
2018-05-15 14:16





Les approches Wireshark / DHCP explorer / DHCP Probe conviennent à un contrôle ponctuel ou périodique. Cependant, je recommanderais de regarder dans DHCP Snooping support sur votre réseau. Cette fonctionnalité assure une protection constante contre les serveurs DHCP non autorisés du réseau et est prise en charge par de nombreux fournisseurs de matériel.

Voici la fonctionnalité définie comme indiqué dans le Cisco docs.

• Valide les messages DHCP reçus de sources non fiables et élimine les messages non valides.

• Débit limite le trafic DHCP des sources fiables et non fiables.

• Construit et gère la base de données de liaison de surveillance DHCP, qui contient des informations sur les hôtes non approuvés avec des adresses IP louées.

• Utilise la base de données de liaison de surveillance DHCP pour valider les demandes ultérieures provenant d'hôtes non approuvés.


15
2018-05-28 23:08



Doc. DHCP Snooping de Juniper: juniper.net/techpubs/en_US/junos9.2/topics/concept/…  DHCP Snooping de ProCurve: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/… - sclarson


dhcploc.exe est le moyen le plus rapide et le plus pratique sur les systèmes Windows. Il est disponible dans les outils de support XP. Les outils de support se trouvent sur chaque disque OEM / XP XP, mais peuvent ou non se trouver sur des "disques de récupération" fournis par certains OEM. Vous pouvez également Télécharger les de MS.

C'est un simple outil en ligne de commande. Vous courez dhcploc {votre adresse IP} puis appuyez sur la touche «d» pour effectuer une fausse découverte. Si vous le laissez fonctionner sans appuyer sur aucune touche, il affichera chaque requête DHCP et répondra. Appuyez sur 'q' pour quitter.


10
2018-05-15 10:31



Cela vient d’être utilisé en combinaison avec la suppression de ports de commutateur individuels pour dépister un serveur sournois malhonnête auquel nous faisions face. Bon produit! - DHayes
Vous pouvez toujours utiliser DHCPloc.exe sur Windows 7: 1. Téléchargez «Outils de support Windows XP Service Pack 2» à partir de [ici] [1]. 2. Cliquez avec le bouton droit sur l'exécutable et sélectionnez Propriétés-> Compatibilité, activez le mode de compatibilité et réglez-le sur "Windows XP (Service Pack 3)". 3. Installez normalement. DHCPLoc.exe fonctionne bien sur mon installation Win7 x64. [1]: microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
Je viens de remarquer que vous pouvez télécharger uniquement l'exécutable à partir de l'emplacement suivant et qu'il fonctionne correctement sous Win 10 x64: gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


Scapy est un outil de création de paquets basé sur Python qui convient à ces tâches de tri. Il y a un exemple de comment faire exactement cela ici.


9
2017-08-24 23:48



Wow, je trouve que Scapy est si puissant après l'avoir plongé pendant plusieurs jours. Il surpasse les outils de merde comme dhcpfind.exe et dhcploc.exe. Scapy 2.2 peut fonctionner sous Linux et Windows - j'ai essayé les deux. La seule barrière est que vous DEVEZ connaître le langage de programmation Python dans une certaine mesure pour exploiter sa puissance. - Jimm Chen
Le lien que vous avez posté est cassé - Jason S
@JasonS Bonjour, j'ai mis à jour le lien, mais la modification est en attente d'examen par les pairs ... En attendant, vous pouvez le trouver ici: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


Pour développer l0c0b0xLe commentaire de l'utilisation bootp.type == 2 en tant que filtre. Le filtre bootp.type est uniquement disponible dans Wireshark / tshark. Il n'est pas disponible dans tcpdump, ce que la position contextuelle de son commentaire m'a amené à croire.

Tshark fonctionne parfaitement pour cela.

Notre réseau est divisé en plusieurs domaines de diffusion, chacun disposant de sa propre sonde basée sur Linux avec un point de présence sur le domaine de diffusion "local" et sur un sous-réseau administratif d'une manière ou d'une autre. Tshark combiné avec ClusterSSH me permet de rechercher facilement le trafic DHCP ou (toute autre chose d'ailleurs) sur les coins les plus éloignés du réseau.

Cela permettra de trouver les réponses DHCP sous Linux:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



Très utile, j’ai passé pas mal de temps à essayer de comprendre pourquoi j’obtenais tcpdump: syntax error. Même posté une question dessus, votre réponse m'a débloqué, merci! networkengineering.stackexchange.com/questions/39534/… - Elijah Lynn
En outre, je pense que quelque chose a changé avec le -R <Read filter>. Je reçois tshark: -R without -2 is deprecated. For single-pass filtering use -Y.. -Y fonctionne bien. - Elijah Lynn


une fois que vous avez établi qu’il existe un serveur dhcp non fiable sur le réseau, j’ai trouvé le moyen le plus rapide de le résoudre ...

Envoyez un courrier électronique à l’ensemble de la société en disant:

"lequel de vous deux a ajouté un routeur sans fil au réseau local, vous avez tué Internet pour tous les autres"

attendez-vous à une réponse penaud ou à la disparition rapide de l'appareil en conflit :)


6
2018-05-15 08:28





Désactivez le serveur DHCP principal et (re) configurez une connexion.

Si vous obtenez une adresse IP, vous avez un voyou.

Si vous avez un système Linux pratique, le standard dhcpclient vous indique l’adresse IP du serveur DHCP (sinon, vous pouvez renifler le trafic pour voir d’où provient la réponse DHCP).


3
2018-05-15 12:05



Bien que cela puisse fonctionner, arrêter un serveur de production DHCP n'est probablement pas la meilleure solution si vous êtes réellement préoccupé par fournir le service... - Massimo
Cela dépend du nombre de personnes que vous servez. Vous pouvez interrompre le service pendant quelques minutes dans la plupart des cas et personne ne le remarquera, en particulier au milieu de la journée, alors que la plupart des gens ont déjà leur bail. - Vinko Vrsalovic


Si vous utilisez un petit réseau, le moyen le plus simple consiste à désactiver / désactiver / débrancher votre serveur DHCP, puis à exécuter ipconfig / renew ou similaire sur un client et si vous obtenez et IP, vous avez quelque chose de commun sur votre réseau.

Une autre façon serait d'utiliser Wireshark analyseur de paquets pour examiner votre trafic réseau et trouver des connexions DHCP, il existe une fiche technique de laboratoire expliquant comment procéder à partir de ici.

Il existe également un certain nombre d’utilisations disponibles qui sont proportionnelles. Explorateur DHCP une autre est la sonde DHCP que vous avez mentionnée dans votre message d'origine.


3
2018-03-13 08:02