Como posso localizar servidores DHCP desonestos? [duplicado]

4

Estou investigando um comportamento estranho em uma sub-rede, em que o registro do host não lista alguns dos IPs que alguns usuários relatam ter. Agora que já vi o evince, quero verificar de forma passiva a presença de um servidor DHCP vermelho, não listado em meu domínio. Como eu posso fazer isso?

Ou melhor, há alguma ferramenta do Linux para listar os servidores DCHP dentro de um domínio? (Eu poderia escrever um script para procurar aleatoriamente, pois suspeito que o servidor DHCP rouge não está ligado o tempo todo, ou talvez não atue como um servidor DHCP o tempo todo.)

    
por j0h 15.09.2014 / 20:23

2 respostas

5

Uma coisa que parece ser raramente sugerida é inspecionar em um dos clientes que tem um endereço incorreto e olhar de onde veio. Por exemplo, em um cliente Windows, "ipconfig / all" informará imediatamente o endereço do servidor invasor.

Para monitoramento a longo prazo, o plugin check_dhcp para Nagios pode ser configurado para avisar se você tiver muitas respostas ou uma resposta inesperada.

Como a TomTom diz, a maioria dos switches da empresa pode ser protegida para se defender contra várias coisas, incluindo servidores DHCP desonestos.

    
por 15.09.2014 / 22:45
2

Wireshark

Tente executar um analisador de protocolo como Wireshark enquanto estiver conectado à sub-rede em questão. Você vai querer filtrar as mensagens do bootp .

Se você quiser fazer isso de uma maneira realmente passiva, terá que esperar até que um cliente nessa sub-rede inicie uma solicitação DHCP, após o que você verá todos os servidores DHCP ouvindo na sub-rede responderem à solicitação. cliente. Se você não tiver paciência, inicie uma solicitação DHCP por conta própria com um computador conectado.

    
por 15.09.2014 / 20:32