Um método simples é simplesmente executar um sniffer como o tcpdump / wireshark em um computador e enviar uma solicitação DHCP. Se você vir alguma outra oferta do seu servidor DHCP real, saberá que tem um problema.
Qual é a melhor abordagem para determinar se eu tenho um servidor DHCP não autorizado dentro da minha rede?
Eu estou querendo saber como a maioria dos administradores aborda esses tipos de problemas. Eu encontrei o DHCP Probe através da pesquisa, e pensei em testá-lo. Alguém já teve experiência com isso? (Eu gostaria de saber antes de tomar o tempo para compilar e instalar).
Você conhece alguma ferramenta útil ou prática recomendada para encontrar servidores DHCP desonestos?
Para recapitular e adicionar algumas das outras respostas:
Desative temporariamente o servidor DHCP de produção e veja se outros servidores respondem.
Você pode obter o endereço IP do servidor executando ipconfig /all em um computador com Windows e, em seguida, pode obter o endereço MAC procurando esse endereço IP usando arp -a .
Em um Mac, execute ipconfig getpacket en0 (ou en1). Consulte o link .
As informações do servidor DHCP geralmente estão em / var / log / messages. sudo grep -i dhcp /var/log/messages*
Desativar seu servidor DHCP de produção pode não ser uma boa opção, é claro.
Use uma ferramenta que procure especificamente servidores DHCP desonestos
Consulte o link para obter uma lista de ferramentas (muitas das quais foram listadas em outras respostas).
Configurar opções para bloquear ofertas DHCP
A maioria dos switches gerenciados pode ser configurada para impedir servidores DHCP desonestos:
As abordagens do explorador Wireshark / DHCP / DHCP são boas para uma verificação periódica ou única. No entanto, recomendo analisar o suporte a DHCP Snooping na sua rede. Esse recurso fornecerá proteção constante contra servidores DHCP desonestos na rede e é suportado por muitos fornecedores de hardware diferentes.
Aqui está o conjunto de recursos, conforme indicado na Docs da Cisco .
• Validates DHCP messages received from untrusted sources and filters out invalid messages.
• Rate-limits DHCP traffic from trusted and untrusted sources.
• Builds and maintains the DHCP snooping binding database, which contains information about untrusted hosts with leased IP addresses.
• Utilizes the DHCP snooping binding database to validate subsequent requests from untrusted hosts.
dhcploc.exe é a maneira mais rápida e prática em sistemas Windows . Está disponível nas ferramentas de suporte do XP. As ferramentas de suporte estão em todos os discos OEM / varejo do XP, mas podem ou não estar em "discos de recuperação" fornecidos por alguns OEMs. Você também pode fazer o download do MS.
É uma ferramenta simples de linha de comando. Você executa dhcploc {yourIPaddress} e, em seguida, pressiona a tecla 'd' para fazer uma descoberta falsa. Se você deixá-lo funcionando sem pressionar nenhuma tecla, ele exibirá todas as solicitações DHCP e atenderá. Pressione 'q' para sair.
O Scapy é uma ferramenta de criação de pacotes baseada em python que é boa para essas tarefas de classificação. Há um exemplo de como fazer exatamente isso aqui .
Para expandir o comentário de l0c0b0x sobre o uso de bootp.type == 2 como um filtro. O filtro bootp.type está disponível apenas no Wireshark / tshark. Não está disponível no tcpdump que a localização contextual de seu comentário me fez acreditar.
Tshark funciona perfeitamente para isso.
Temos nossa rede dividida em vários domínios de broadcast, cada um com seu próprio probe baseado em Linux com um ponto de presença no domínio de transmissão "local" e em uma sub-rede administrativa de uma maneira ou de outra. O Tshark, combinado com o ClusterSSH , permite-me procurar facilmente o tráfego DHCP ou (qualquer outra coisa para isso importa) nos cantos adicionais da rede.
Isso encontrará respostas de DHCP usando o Linux:
# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'
uma vez que você tenha estabelecido que há um servidor dhcp desonestos na rede, descobri que a maneira mais rápida de resolvê-lo era ...
Envie um e-mail para toda a empresa dizendo:
"qual de vocês adicionou um roteador sem fio à LAN, você matou a internet para todos os outros"
espere uma resposta envergonhada, ou o dispositivo em conflito desapareça, rapidamente:)
Desative o servidor DHCP principal e (re) configure uma conexão.
Se você obtiver um endereço IP, terá um invasor.
Se você tiver um Linux à mão, o dhcpclient padrão informará o endereço IP do servidor DHCP (senão você poderá farejar o tráfego para ver de onde veio a resposta do DHCP).
Existem várias maneiras, se você estiver executando uma rede pequena, a maneira mais simples é desligar / desativar / desconectar seu servidor dhcp e, em seguida, executar ipconfig / renew ou similar em um cliente e se você obtiver e IP tiver algo de rouge em sua rede.
Outra maneira seria usar Wireshark analisador de capas de pacotes para analisar o tráfego da sua rede e encontrar conexões DHCP, existe um laboratório planilha sobre como fazer isso disponível em aqui .
Há também vários utilies disponíveis, o que significa que a proporção explorador DHCP é outra Sonda DHCP que você mencionou em sua postagem original.
Você pode fazer uma varredura de ping de suas redes e, em seguida, compará-las com o número de concessões de DHCP fornecidas pelo seu servidor DHCP.
Você precisa ter uma ideia geral do número de dispositivos estáticos (interfaces de roteadores e impressoras, talvez) que distorcerão esse número ligeiramente, mas isso deve ser uma forma rápida e precisa de identificá-los em várias redes.