Поиск dhcp серверов в сети zhitsoboy.ru

Поиск dhcp серверов в сети

DHCP RogueChecker – в хозяйстве пригодится

Недавно понадобилось перенести сервер DHCP с Windows 2003 Server на Windows Server 2008 (делается, кстати, очень просто, ниже скажу об этом пару слов). И вспомнил один случай, когда-то давно со мной приключившийся. Имя ему — Rogue DHCP Server.

Сначала обещанная пара слов о переносе DHCP сервера с Windows 2003 Server на Windows Server 2008. Я воспользовался самым простым в данном случае, на мой взгляд, способом. На старом сервере выполняем экспорт в файл:

На новом сервере добавляем роль DHCP server и импортируем:

Если развёрнута AD, удаляем старый сервер из авторизованных и авторизуем новый, сделать это можно из консоли управления DHCP или так:

Запускаем, проверяем, что всё работает :), удаляем со старого сервера роль DHCP.

Теперь о том давнем случае. Я тогда занимался администрированием небольшой сети, где-то не более сотни рабочих мест. Коллега попросил на несколько дней домой простенький Ethernet-роутер, оставшийся не у дел со времён, когда в компании насчитывался только с десяток компьютеров. Получив от меня роутер, довольный коллега удалился с ним в свой кабинет и решил ознакомиться с его возможностями прямо на месте. Для этого он сбросил настройки роутера к заводским, и не придумал ничего лучше, как подключить LAN-сегмент роутера в нашу корпоративную сеть.

Как известно, большинство недорогих SOHO роутеров поставляются со встроенным DHCP сервером, включенным по умолчанию. И получили мы в сети его — rogue DHCP server. Когда стали истекать сроки аренды, клиенты стали получать адреса от DHCP сервера роутера, и нормальная работа сети оказалась нарушена.

Фальшивый, или неавторизованный, DHCP сервер может появиться не только по ошибке. (Например, не очень опытный ИТ-сотрудник может установить в исследовательских целях непосредственно на рабочем месте софт, в том числе обладающий функцией DHCP сервера, или просто зачем-то включит имеющуюся в Windows функцию ICS.) Всё может быть намного серьёзней, rogue DHCP server может быть началом атаки типа «человек посередине». Поэтому в крупных и ответственных сетях с этим явлением надо бороться заранее, средствами систем IDS и с помощью высокоуровневых управляемых коммутаторов.

Описание таких методов выходит за рамки этой небольшой заметки, а здесь я опишу один из вариантов быстрого обнаружения «левых» DHCP серверов для небольшой или бюджетной сети. Метод всего один – периодически проверять наличие DHCP серверов в сети, отправляя запрос на получение адреса, и сверять ответившие серверы со списком известных «легальных» серверов.

Есть множество готовых утилит для этого, например dhcploc.exe непосредственно от Microsoft, Roadkil’s DHCP Find под Windows, dhcp_probe для UNIX и UNIX-like, Rogue Detect, написанный на Perl, и т. п. Но сегодня я хочу отметить маленькую утилиту RogueChecker от Subhash Badri, написана под Windows, с графическим интерфейсом.

Инсталляции не требует, после запуска открывает окно и создаёт значок в системном трее. В том числе RogueChecker может показывать авторизованные в AD серверы DHCP.

На второй вкладке можно выбрать интерфейсы и задать частоту поиска DHCP серверов.

После первого поиска все найденные DHCP серверы будут считаться неизвестными. Утилита не сверяет найденные серверы со списком авторизованных в AD. Сначала я счёл это недостатком, но потом пришёл к выводу, что всё правильно. Не составит труда отметить галочками правильные серверы, а независимый список авторизованных позволит обнаружить ситуацию, когда DHCP сервер уже не используется, но информация о его авторизации по-прежнему хранится в AD. Кстати, список авторизованных в AD серверов DHCP можно посмотреть, выполнив на сервере:

Список серверов, отмеченных как правильные, сохраняется в папке, откуда запущена программа, в файле с именем WellKnownServers.xml.

Значок в трее меняется, если обнаружен неизвестный DHCP сервер.

Как узнать, существует ли в моей сети уязвимый DHCP-сервер?

Каков наилучший подход к определению того, есть ли у меня изгоняющий DHCP-сервер внутри моей сети?

Мне интересно, как большинство администраторов подходят к таким проблемам. Я нашел DHCP Probe через поиск и подумал о том, чтобы попробовать его. У кого-нибудь есть опыт? (Я хотел бы знать, прежде чем тратить время на его компиляцию и установку).

Читать еще:  Проблема с сетью 410 на ютубе

Знаете ли вы какие-либо полезные инструменты или лучшие практики для поиска мошеннических серверов DHCP?

12 ответов

Один простой метод — просто запустить sniffer, например tcpdump /wireshark, на компьютер и отправить запрос DHCP. Если вы видите какие-либо предложения, отличные от вашего реального DHCP-сервера, то вы знаете, что у вас есть проблема.

Повторить и добавить к некоторым другим ответам:

Временно отключите производственный DHCP-сервер и посмотрите, отвечают ли другие серверы.

Вы можете получить IP-адрес сервера, запустив ipconfig /all на компьютере Windows, а затем вы можете получить MAC-адрес, выбрав этот IP-адрес, используя arp -a .

Информация о сервере DHCP обычно находится в /var /log /messages. sudo grep -i dhcp /var/log/messages*

Отключение вашего DHCP-сервера может быть не очень хорошим вариантом.

Использовать инструмент, специально предназначенный для изгоев DHCP-серверов

См. http://en.wikipedia.org/wiki/Rogue_DHCP для списка инструменты (многие из которых были указаны в других ответах).

Настройка переключателей для блокировки DHCP

Большинство управляемых коммутаторов могут быть настроены для предотвращения изгоев DHCP-серверов:

dhcpdump , который принимает входную форму tcpdump и отображает только связанные с DHCP пакеты. Помог мне найти руткит Windows, создавая поддельный DHCP в нашей локальной сети.

Подходы Wireshark /DHCP explorer /DHCP Probe подходят для одноразовой или периодической проверки. Тем не менее, я бы рекомендовал посмотреть в поддержку DHCP Snooping в вашей сети. Эта функция обеспечит постоянную защиту от мошеннических DHCP-серверов в сети и поддерживается многими различными поставщиками оборудования.

Вот набор функций, как указано в Документы Cisco .

â € ¢ Проверяет сообщения DHCP, полученные от ненадежных источников, и отфильтровывает недопустимые сообщения.

¢ Ограничение трафика DHCP от надежных и ненадежных источников.

• Создает и поддерживает базу данных привязки DHCP, которая содержит информацию о ненадежных хостах с арендованными IP-адресами.

¢ Использует базу данных привязки DHCP для проверки последующих запросов от ненадежных хостов.

dhcploc.exe является самым быстрым и самый удобный способ для систем Windows. Он доступен в инструментах поддержки XP. Инструменты поддержки находятся на каждом диске OEM /retail XP, но могут быть или не быть на «дисках восстановления», предоставляемых некоторыми OEM-производителями. Вы также можете скачать их от MS.

Это простой инструмент командной строки. Вы запускаете dhcploc , а затем нажмите клавишу ‘d’, чтобы сделать поддельное обнаружение. Если вы оставите его без нажатия каких-либо клавиш, он отобразит каждый запрос DHCP и ответит на него. Нажмите «q», чтобы выйти.

Scapy — это инструмент для создания пакетов на основе python, который хорош для этих задач сортировки. Ниже приведен пример того, как это сделать здесь .

Чтобы развернуть комментарий l0c0b0x об использовании bootp.type == 2 как фильтр. Фильтр bootp.type доступен только в Wireshark /tshark. В tcpdump он недоступен, и контекстуальное расположение его комментария склоняло меня к мысли.

Tshark отлично работает для этого.

У нас есть сеть, разделенная на многочисленные широковещательные домены, каждая из которых имеет свой собственный Linux-зонд с точкой присутствия в «локальном» широковещательном домене и в административной подсети так или иначе. Tshark в сочетании с ClusterSSH позволяет мне легко искать трафик DHCP или (что-нибудь еще в этом случае) на дальнейших отброшенных углах сети.

Это найдет ответы DHCP с помощью Linux:

после того, как вы установили, что в сети есть мошеннический сервер dhcp, я нашел самый быстрый способ его решения .

Отправьте письмо по электронной почте всей компании, говоря:

«, который один из вас добавил в маршрутизатор беспроводной маршрутизатор, вы убили Интернет для всех остальных.

ожидайте, что застенчивый ответ или конфликтующее устройство исчезнут быстро:)

Отключите главный DHCP-сервер и (повторно) настройте соединение.

Если вы получаете IP-адрес, у вас есть мошенник.

Если у вас Linux под рукой, стандартный dhcpclient сообщает вам IP-адрес DHCP-сервера (иначе вы можете обнюхать трафик, чтобы увидеть, откуда пришел ответ DHCP).

Существует несколько способов, если вы используете небольшую сеть, самый простой способ — отключить /отключить /отключить ваш сервер dhcp, а затем запустить ipconfig /renew или аналогичные на клиенте, и если вы получаете и IP, у вас есть что-то в вашей сети.

Другим способом было бы использовать Wireshark захват /анализатор пакетов, чтобы посмотреть на ваш сетевой трафик и найти DHCP есть рабочий лист лаборатории о том, как сделать это доступным из здесь .

Читать еще:  Низкая скорость загрузки в сеть на ps4

Существует также ряд доступных для использования utilies, которые пропорциональны этому: DHCP-проводник другой — это DHCP-зонд, который вы упомянули в своем первоначальном сообщении.

Вы можете использовать RogueChecker от Microsoft:

также читайте эту информацию:

Вы можете выполнить прокрутку ping своих сетей, а затем сравнить это с количеством аренды DHCP, выданным вашим сервером DHCP.

У вас должно быть общее представление о количестве статических устройств (возможно, интерфейсов маршрутизатора и принтеров), которые немного исказили бы этот номер, но это должен быть быстрый и точный способ их идентификации по нескольким сетям.

История аренды IP-адресов на DHCP сервере

История аренды IP-адресов на DHCP сервере

Добрый день! Уважаемые читатели и гости одного из популярнейших IT блогов Pyatilistnik.org. В прошлый раз мы с вами разобрали тему по отключению защитника Windows 8.1. Сегодня мы разберем интересную тему по системному администрированию, а именно, как и где посмотреть историю аренды IP-адресов на сервере DHCP в Windows. Я расскажу вам сценарии, при которых эти знания окажутся для вас весьма полезными и необходимыми, да и вообще инженеры очень редко смотрят и изучают логи DHCP сервера.

Постановка задачи

И так у вас развернут DHCP сервер на Windows. В какой-то момент вам потребовалось выяснить, кем был зарезервирован IP-адрес, например несколько дней назад. Когда у вас время аренды большое, это сделать проще, если настроено резервирование, то это еще проще, но мы рассмотрим, что у вас время аренды, пусть будет сутки и резервирования нет. Благодаря моей инструкции вы сможете вычислить компьютер и mac-адрес устройства, кто получал нужный нам ip-адрес.

Как найти историю аренды ip-адресов DHCP

Откройте оснастку DHCP, и откройте свойства вашего пула IPV6 или IPV6. Убедитесь, что у вас включена функция «Вести журнал аудита DHCP«, если нет то включаем ее.

На вкладке «Дополнительно» вы можете посмотреть куда сохраняется журнал с событиями сервера. По умолчанию, это C:Windowssystem32dhcp.

Переходим в каталог C:Windowssystem32dhcp. Тут будут нужные нам файлы DhcpSrvLog.log. таких файлов будет 7, на каждый день недели.

Открыв файл вам сразу выскочит подсказка по кодам событий:

  • 00 Ведение журнала начато.
  • 01 Ведение журнала остановлено.
  • 02 Ведение журнала временно приостановлено из-за нехватки места на диске.
  • 10 Клиенту выдан новый IP-адрес.
  • 11 Аренда продлена клиентом.
  • 12 Аренда отменена клиентом.
  • 13 IP-адрес уже используется в сети.
  • 14 Запрос на аренду не может быть удовлетворен, так как исчерпан пул адресов этой области.
  • 15 В аренде отказано.
  • 16 Аренда удалена.
  • 17 Срок аренды истек, а DNS-записи для истекших аренд не удалены.
  • 18 Срок аренды истек, и DNS-записи удалены.
  • 20 Клиенту выдан BOOTP-адрес.
  • 21 Клиенту выдан динамический BOOTP-адрес.
  • 22 Не удалось удовлетворить запрос на выдачу BOOTP-адреса, так как исчерпан пул адресов для BOOTP.
  • 23 IP-адрес BOOTP удален, так как он не используется.
  • 24 Начата очистка IP-адресов.
  • 25 Статистика очистки IP-адресов.
  • 30 Запрос на обновление DNS к именованному DNS-серверу.
  • 31 Сбой обновления DNS.
  • 32 Успешное обновление DNS.
  • 33 Пакет отброшен в соответствии с политикой NAP.
  • 34 Сбой запроса на обновление DNS. Превышено ограничение для очереди запросов на обновление DNS.
  • 35 Сбой запроса на обновление DNS.
  • 36 из-за несоответствия хэша ИД клиента или того, что сервер находится в режиме ожидания обработки отказа.
  • 50+ Коды выше 50 используются для сведений о выявленных неавторизованных серверах.
  • 11000 Обращение DHCPv6.
  • 11001 Объявление DHCPv6.
  • 11002 Запрос DHCPv6.
  • 11003 Подтверждение DHCPv6.
  • 11004 Обновление DHCPv6.
  • 11005 Повторная привязка DHCPv6.
  • 11006 Отклонение DHCPv6.
  • 11007 Освобождение DHCPv6.
  • 11008 Запрос информации DHCPv6.
  • 11009 Заполнение области DHCPv6.
  • 11010 Запуск DHCPv6.
  • 11011 Остановка DHCPv6.
  • 11012 Приостановка журнала аудита DHCPv6.
  • 11013 Файл журнала DHCPv6.
  • 11014 Недопустимый DHCPv6-адрес.
  • 11015 DHCPv6-адрес уже используется.
  • 11016 DHCPv6-клиент удален.
  • 11017 DNS-запись DHCPv6 не удалена.
  • 11018 Срок действия DHCPv6 истек.
  • 11019 Устаревшие и удаленные аренды DHCPv6.
  • 11020 Начало очистки базы данных DHCPv6.
  • 11021 Окончание очистки базы данных DHCPv6.
  • 11022 Запрос обновления DNS для IPv6.
  • 11023 Сбой обновления DNS для IPv6.
  • 11024 Успешное обновление DNS для IPv6.
  • 11028 Сбой запроса обновления DNS для IPv6. Превышен предел очереди запросов на обновление DNS.
  • 11029 Сбой запроса обновления DNS для IPv6.
  • 11030 Записи DHCPv6-клиента без отслеживания состояния очищены.
  • 11031 Запись DHCPv6-клиента без отслеживания состояния очищена, так как для нее истек интервал очистки.
  • 11032 Запрос информации DHCPV6 с IPv6-клиента без отслеживания состояния.
Читать еще:  Можно ли форматировать SSD диск?

Вот для примера, как выглядит продление аренды адреса.

Объяснение работы DHCP сервера с примерами

В этом руководстве объясняются основные понятия DHCP-сервера, в том числе о том, как DHCP-сервер назначает автоматический IP-адрес через четыре состояния (обнаружение DHCP, предложение DHCP, запрос DHCP и подтверждение DHCP). Узнайте, что такое DHCP-сервер и как он работает в сети.

Компьютеры в сетях IP нуждаются в некой важной информации, прежде чем смогут общаться с другими хостами. Эта информация включает в себя IP-адрес и префикс маршрута и маршрутизации по-умолчанию. Настройка IP-адресации в большой сети на основе TCP / IP может быть кошмаром, особенно если машины часто перемещаются из одной сети в другую. DHCP устраняет ручную задачу сетевым администратором. Протокол конфигурации динамического хоста (DHCP) может помочь с рабочей нагрузкой при настройке систем в сети путем автоматического назначения адресов системам при загрузке. Он также предоставляет центральную базу данных устройств, которые подключены к сети и устраняет дублирование назначений ресурсов.

DHCP-сервер может иметь три метода распределения IP-адресов:

статическое распределение: DHCP-сервер выделяет IP-адрес на основе таблицы с адресами MAC-адресов / IP-адресов, которые заполняются вручную. Только запрашивающим клиентам MAC-адрес, перечисленным в этой таблице, будет присвоен IP-адрес.

динамическое распределение: сетевой администратор назначает диапазон IP-адресов для DHCP, и каждый клиентский компьютер в локальной сети настроен на запрос IP-адреса от DHCP-сервера во время инициализации сети.

автоматическое распределение: DHCP-сервер постоянно назначает свободный IP-адрес запрашивающему клиенту из диапазона, определенного администратором. Это похоже на динамическое распределение, но сервер DHCP хранит таблицу прошлых назначений IP-адресов, так что он может предпочтительно назначать клиенту тот же IP-адрес, который ранее был у клиента.

Среди этих трех методов, статический и динамический — самая популярная реализация.

Как работает DHCP

DHCP предоставляет автоматизированный способ распространения и обновления IP-адресов и другой информации о конфигурации в сети. DHCP-сервер предоставляет эту информацию клиенту DHCP посредством обмена серией сообщений, известных как DHCP-разговор или транзакция DHCP.

DHCP discover

Клиентские компьютеры передают сообщения в физической подсети для обнаружения доступных DHCP-серверов. Этот клиент-компьютеры создает пакет протокола udp (User Datagram Protocol) с назначением широковещательной передачи по умолчанию 255.255.255.255 или определенным адресом широковещательной передачи подсети, если он настроен.

DHCP offer

Когда DHCP-сервер получает запрос аренды IP от клиента, он резервирует IP-адрес для клиента и расширяет предложение аренды IP, отправив сообщение DHCPOFFER клиенту. Это сообщение содержит MAC-адрес клиента, IP-адрес, который предлагает сервер, маску подсети, Продолжительность аренды и IP-адрес DHCP-сервера, делающего предложение.

DHCP request

В большинстве компаний два DHCP-сервера обеспечивают отказоустойчивость IP-адресации, если один сервер не работает или должен быть отключен для обслуживания. Таким образом, клиент может получить предложения DHCP от нескольких серверов, но он будет принимать только одно предложение DHCP. В ответ на предложение клиент запрашивает сервер. Клиент отвечает на запрос DHCP, одноадресный на сервер, запрашивая предлагаемый адрес. На основе поля id транзакции в запросе, серверы информируются, чье предложение клиент принял. Когда другие DHCP-серверы получают это сообщение, они отзывают любые предложения, которые они могли сделать клиенту и возвращают предложенный адрес пулу доступных адресов. В некоторых случаях сообщение запроса DHCP является широковещательным, вместо того, чтобы быть одноадресной к определенному серверу DHCP, потому что клиент DHCP все еще не получил IP-адрес. Кроме того, таким образом, одно сообщение может позволить всем другим DHCP-серверам знать, что другой сервер будет предоставлять IP-адрес, не пропуская ни одного из серверов с серией одноадресных сообщений.

DHCP acknowledgement

Когда DHCP-сервер получает сообщение DHCPREQUEST от клиента, процесс настройки переходит в свою заключительную фазу.

Фаза подтверждения включает отправку пакета DHCPACK клиенту. Этот пакет включает Продолжительность аренды и любую другую информацию о конфигурации, которую клиент мог бы запросить. На этом этапе процесс настройки IP завершен.

Ссылка на основную публикацию
Adblock
detector