Назад | Перейти на главную страницу

Как я могу найти мошеннические DHCP-серверы?

Я исследую странное поведение в подсети, где при регистрации хоста не указаны некоторые IP-адреса, которые, по сообщениям некоторых пользователей, имеют. Теперь, когда я увидел это, я хочу пассивно просканировать наличие маршрутизируемого DHCP-сервера, которого нет в моем домене. Как я могу это сделать?

Или, скорее, есть ли какие-либо инструменты Linux для перечисления серверов DCHP в домене? (Я мог бы написать сценарий для случайного поиска, так как подозреваю, что DHCP-сервер Rouge не работает постоянно или, возможно, не действует как DHCP-сервер все время.)

Одна вещь, которую, кажется, редко предлагают, - это проверить у одного из клиентов, у которого плохой адрес, и посмотреть, откуда он пришел. Например, на клиенте Windows "ipconfig / all" сразу сообщит вам, какой был адрес мошеннического сервера.

Для долгосрочного мониторинга плагин check_dhcp для Nagios может быть настроен на предупреждение, если у вас слишком много ответов или неожиданный ответ.

Как сообщает TomTom, большинство корпоративных коммутаторов можно укрепить для защиты от различных факторов, включая мошеннические DHCP-серверы.

Wireshark

Попробуйте запустить анализатор протокола, например Wireshark при подключении к рассматриваемой подсети. Ты захочешь фильтр на bootp Сообщения.

Если вы хотите сделать это по-настоящему пассивным образом, вам придется подождать, пока клиент в этой подсети не инициирует DHCP-запрос, после чего вы увидите, что все DHCP-серверы, прослушивающие в подсети, отвечают клиенту. Если у вас нет терпения, инициируйте запрос DHCP самостоятельно с подключенного компьютера.