Pertanyaan Bagaimana cara mengetahui apakah ada server DHCP yang jahat di Jaringan saya?


Apa pendekatan terbaik untuk menentukan apakah saya memiliki server DHCP nakal di dalam jaringan saya?

Saya bertanya-tanya bagaimana kebanyakan admin mendekati masalah-masalah semacam ini. saya menemukan DHCP Probe melalui pencarian, dan berpikir tentang mencobanya. Adakah yang punya pengalaman dengan itu? (Saya ingin tahu sebelum mengambil waktu untuk mengkompilasi dan menginstalnya).

Apakah Anda tahu alat yang berguna atau praktik terbaik untuk menemukan server DHCP nakal?


87
2018-05-15 08:12




Alat MS dan sangat mudah digunakan! Deteksi Rogue DHCP Server - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/… - aa.malta
Saya menemukan referensi resmi untuk tautan Anda aa.malta di social.technet.microsoft.com/wiki/contents/articles/… tetapi tautan tidak lagi tampak berfungsi sejak 2016. Ini menunjukkan posting blog saya dari tahun 2009, tetapi saya hanya melihat posting untuk 6 Juli dan 29 Juni. Sepertinya tidak ada posting 3 Juli seperti yang ditunjukkan oleh URL tautan Anda diposting. Sepertinya MS menghapusnya untuk siapa yang tahu alasannya. - Daniel
Sepertinya tautan langsung ini (yang saya temukan di situs wordpress) berfungsi untuk mengunduh file dari Microsoft Server. Tautan berfungsi sejak Januari 2016. Karena URL-nya Microsoft, saya merasa dapat dipercaya, tetapi saya tidak menjamin: blogs.technet.com/cfs-file.ashx/__key/… - Daniel


Jawaban:


Salah satu metode sederhana adalah dengan menjalankan sniffer seperti tcpdump / wireshark di komputer dan mengirim permintaan DHCP. Jika Anda melihat penawaran lain kemudian dari server DHCP Anda yang sebenarnya maka Anda tahu Anda memiliki masalah.


53
2018-05-15 08:31



Membantu menggunakan filter berikut: "bootp.type == 2" (hanya menampilkan penawaran DHCP, dan melihat apakah ada respons dari sumber yang berbeda / tidak dikenal) - l0c0b0x
Gunakan program seperti DHCP-Find (softpedia.com/get/Network-Tools/Network-IP-Scanner/…) bersama dengan TCPDump / Wireshark untuk memicu respons DHCP. - saluce
Bisakah Anda menawarkan solusi yang lebih spesifik? - tarabyte
@tarabyte Saya tidak yakin solusi apa yang saya atau perbaiki yang harus saya tawarkan. Saya pikir pertanyaan ini memiliki cakupan yang cukup bagus dari belasan jawaban baik lainnya? Opsi goto saya hari ini adalah hanya mengonfigurasi switch Anda untuk memblokir DHCP seperti disarankan Jason Luther. Adakah sesuatu yang spesifik yang perlu dibahas lebih baik? - Zoredache
Saya mengharapkan lebih banyak urutan perintah yang menggunakan tcpdump, arp, dll. dengan parameter eksplisit dan penjelasan tentang parameter tersebut. - tarabyte


Untuk merangkum dan menambahkan beberapa jawaban lainnya:

Nonaktifkan sementara server DHCP produksi Anda dan lihat apakah server lain merespons. 

Anda bisa mendapatkan alamat IP server dengan menjalankan ipconfig /all pada mesin windows, dan kemudian Anda bisa mendapatkan alamat MAC dengan mencari alamat IP yang digunakan arp -a.

Di Mac, jalankan ipconfig getpacket en0 (atau en1). Lihat http://www.macosxhints.com/article.php?story=20060124152826491.

Informasi server DHCP biasanya di / var / log / messages. sudo grep -i dhcp /var/log/messages*

Menonaktifkan server DHCP produksi Anda mungkin bukan pilihan yang baik, tentu saja.

Gunakan alat yang secara khusus mencari server DHCP nakal 

Lihat http://en.wikipedia.org/wiki/Rogue_DHCP untuk daftar alat (banyak yang tercantum dalam tanggapan lain).

Konfigurasikan sakelar untuk memblokir penawaran DHCP

Sebagian besar switch yang dikelola dapat dikonfigurasi untuk mencegah server DHCP jahat:


21
2018-05-15 09:18





dhcpdump, yang mengambil bentuk input tcpdump dan hanya menampilkan paket-paket terkait DHCP. Membantu saya menemukan Windows rootkited, menyamar sebagai DHCP palsu di LAN kami.


16
2018-05-15 14:16





The Wireshark / DHCP explorer / DHCP Probe pendekatan yang baik untuk satu kali atau pemeriksaan berkala. Namun, saya sarankan untuk mencari tahu DHCP Snooping dukungan di jaringan Anda. Fitur ini akan memberikan perlindungan konstan dari server DHCP nakal di jaringan, dan didukung oleh banyak vendor perangkat keras yang berbeda.

Berikut set fitur seperti yang ditunjukkan di Dokumentasi Cisco.

• Memvalidasi pesan DHCP yang diterima dari sumber yang tidak dipercaya dan memfilter pesan yang tidak valid.

• Beri nilai-batas lalu lintas DHCP dari sumber tepercaya dan tidak tepercaya.

• Membangun dan memelihara database pengintaian DHCP snooping, yang berisi informasi tentang host yang tidak dipercaya dengan alamat IP yang disewakan.

• Memanfaatkan database pengintaian DHCP snooping untuk memvalidasi permintaan berikutnya dari host yang tidak dipercaya.


15
2018-05-28 23:08



Juniper's DHCP Snooping doc: juniper.net/techpubs/en_US/junos9.2/topics/concept/…  ProCurve's DHCP Snooping: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/… - sclarson


dhcploc.exe adalah cara tercepat dan paling mudah pada sistem Windows. Ini tersedia di Alat Dukungan XP. Alat Dukungan ada di setiap disk OEM / XP ritel, tetapi mungkin atau mungkin tidak ada di "disk pemulihan" yang disediakan oleh beberapa OEM. Anda juga bisa unduh mereka dari MS.

Ini adalah alat commandline yang sederhana. Kamu lari dhcploc {yourIPaddress} lalu tekan tombol 'd' untuk melakukan penemuan palsu. Jika Anda membiarkannya berjalan tanpa menekan tombol apa pun, ia akan menampilkan setiap permintaan DHCP dan menjawabnya mendengar. Tekan 'q' untuk keluar.


10
2018-05-15 10:31



Hanya menggunakan ini dalam kombinasi dengan membunuh port switch individu untuk melacak server nakal licik yang kami hadapi. Barang bagus! - DHayes
Anda masih dapat menggunakan DHCPloc.exe pada Windows 7: 1. Unduh "Windows XP Service Pack 2 Support Tools" dari [di sini] [1]. 2. Klik kanan pada eksekusi dan pilih Properties-> Compatibility kemudian nyalakan Mode Kompatibilitas dan atur ke "Windows XP (Service Pack 3)". 3. Instal seperti biasa. DHCPLoc.exe berfungsi dengan baik pada instalasi Win7 x64 saya. [1]: microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
Saya baru tahu Anda dapat mengunduh hanya eksekusi dari lokasi berikut dan berfungsi dengan baik di bawah Win 10 x64: gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


Scapy adalah alat perangkai paket berbasis python yang baik untuk tugas-tugas semacam ini. Ada contoh bagaimana melakukan hal ini sini.


9
2017-08-24 23:48



Wow, saya menemukan Scapy sangat kuat setelah menggali selama beberapa hari. Ini melampaui alat-alat jelek seperti dhcpfind.exe dan dhcploc.exe. Scapy 2.2 dapat berjalan di Linux dan Windows - saya mencoba keduanya. Satu-satunya penghalang adalah Anda HARUS mengetahui bahasa pemrograman Python sampai batas tertentu untuk memanfaatkan kekuatannya. - Jimm Chen
Tautan yang Anda posting rusak - Jason S
@JasonS Hai saya telah memperbarui tautan, tetapi perubahannya menunggu tinjauan sejawat ... Sambil menunggu Anda dapat menemukannya di sini: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


Untuk memperluas l0c0b0xkomentar tentang penggunaan bootp.type == 2 sebagai filter. Filter bootp.type hanya tersedia di Wireshark / tshark. Itu tidak tersedia di tcpdump yang lokasi kontekstual dari komentarnya membuat saya percaya.

Tshark bekerja dengan sempurna untuk ini.

Kami memiliki jaringan kami dibagi menjadi beberapa domain broadcast, masing-masing dengan probe berbasis Linux mereka sendiri dengan titik kehadiran pada domain broadcast "lokal" dan pada subnet administratif dalam satu mode atau yang lain. Dikombinasikan dengan Tshark ClusterSSH memungkinkan saya untuk dengan mudah mencari lalu lintas DHCP atau (hal lain dalam hal ini) di sudut-sudut yang lebih jauh dari jaringan.

Ini akan menemukan balasan DHCP menggunakan Linux:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



Sangat membantu, saya menghabiskan sedikit waktu untuk mencoba mencari tahu mengapa saya mendapatkan tcpdump: syntax error. Bahkan memposting pertanyaan di atasnya, jawaban Anda membebaskan saya, terima kasih! networkengineering.stackexchange.com/questions/39534/… - Elijah Lynn
Juga, saya pikir ada sesuatu yang berubah dengan -R <Read filter>. saya mendapat tshark: -R without -2 is deprecated. For single-pass filtering use -Y.. -Y bekerja dengan baik. - Elijah Lynn