Eu perguntei se aqui era solicitado que eu mova para este fórum em vez disso.
Tenho uma pergunta que preciso de alguns conselhos sobre o DHCP e o que pode acontecer em uma determinada situação.
Eu tenho um caso em que um servidor DHCP começou a distribuir endereços IP para dispositivos que tinham reservas de outra forma, ignorando o fato de que as reservas estavam lá.
O servidor é uma instalação padrão x64 2008R2, servindo como um controlador de domínio.
Quando ele distribuía um IP, eu veria que o "ID exclusivo" era o mesmo endereço MAC para o qual eu tinha uma reserva configurada, e o dispositivo final receberia o IP mostrado vindo do meu pool dinâmico, não o reservado.
A reinicialização do servidor eliminou essa condição e todas as reservas funcionaram corretamente depois disso.
Nunca tendo visto esse tipo de comportamento, nesta rede ou em qualquer outra, comecei a tentar descobrir o que pode ter causado isso, erro de software, configuração incorreta, etc?
Em seguida, ocorreu-me que eu estava trabalhando em alguns telefones IP não muito antes de acontecer, dois dos quais incorreram em algum tipo de falha interna que resultou em seu endereço MAC definido como FF: FF: FF: FF: FF : FF.
Esses dispositivos teriam solicitado um IP com um endereço de origem e de destino da mesma coisa e endereçariam a transmissão da rede.
Eles não conseguiram obter um endereço IP e relataram falha no DHCP, então eu configurei um IP estático em um deles, fiz a varredura com o NMAP para ver se estava funcionando, e do que quando notei que ele reporta seu MAC como FF: FF: FF: FF: FF: FF (Desconhecido), repeti o processo com o segundo dispositivo inoperante, recebi os mesmos resultados e não considerei quais seriam os possíveis efeitos na rede quando foi anexado.
Então, para fazer uma pequena história, qual seria o efeito naquele ambiente de solicitar um IP para um endereço de broadcast, teria que enviar ofertas de DHCP para algo que estivesse escutando? Poderia ter assustado o banco de dados que gerenciava o pool?
Eu me fotografei no pé ou estava procurando um problema para se encaixar no sintoma?
Parece que se isso causasse o caos que eu vi, seria um flagrante vetor de ataque do DOS, e eu não posso ser o primeiro a ter cruzado ou perguntado como me proteger contra isso.
Eu também tinha considerado o que acontece se o servidor estava respondendo à solicitação tentando informar ao FF: FF: FF: FF: FF: Ff que é IP era xxxx, e o próximo solicitando pode ter interceptado a mensagem incorreta, em algum tipo de condição de corrida, acreditando que estava recebendo uma resposta solicitada? (Isso é possível)