GoldenLine
Zaloguj się
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Zły serwer dhcp w sieci

Cześć, mam taki problem, jest sobie sieć złożona z około 500 hostów, adresy dla hostów przydzielane są z serwera dhcp. Wszystko działa dobrze do czasu gdy mądry użytkownik sieci, nie przepnie w swoim routerze wtyczki z łącza wan do łącza lan. Wtedy to on zaczyna przydzielać ludziom dhcp-y, i część z nich pozbawiona jest neta. Pytanie czy jest jakiś sposób na szybkie znalezienie takiego delikwenta?
Link do wypowiedziLink
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: Zły serwer dhcp w sieci

Jak dostaniesz zły adres to widzisz od razu od kogo.

A jak chcesz zablokować możliwość podpinania serwerów dhcp to pomocne będzie ip dhcp snooping. No chyba, że switche to nie cisco...
Link do wypowiedziLink
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Zły serwer dhcp w sieci

Niestety switche to nie cisco więc opcja dhcp snooping odpada. Żebym miał dostać zły adres to musiałbym znaleźć lokalizację w którym ten zły dhcp jest umieszczony, w innym przypadku dostaje dobry adres ip z poprawnego dhcp-a.

Sieć że tak powiem jest troche rozpalcelowana, więc jeżdżenie i przypinanie się do poszczególnych lokalizacji było by troche uciążliwe.Grzegorz Czerepak edytował(a) ten post dnia 15.06.12 o godzinie 20:21
Link do wypowiedziLink
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: Zły serwer dhcp w sieci

Musiałbyś nasłuchiwać broadcasty. Jeśli przyjdzie odpowiedź ze złego serwera to sprawdzasz jego adres MAC, którego szukasz w tablicach na switchach. Chyba, że to switche takie, że nic na nich nie widzisz.
Link do wypowiedziLink
Adam W.

Adam W. -

Temat: Zły serwer dhcp w sieci

Klient dhcp skorzysta z serwera dhcp który pierwszy mu odpowie -> w 99% przypadków zagęszczenie klientów korzystających ze złego serwera dhcp będzie wskazywało na jego lokalizację, jeżeli delikwent robi to złośliwie (włącza serwer dhcp na 5 minut i wyłącza) to namierzenie go ręcznie bez dhcp snooping będzie faktycznie trudne, możesz spróbować wyłączyć swój serwer DHCP (ewentualnie wykluczyć siebie jeżeli masz taką możliwość) i samemu uzyskać adres od "złego".
jest narzędzie dhcpexplorer, wireshark, być może Ci pomoże, jednak charakter tego narzędzia jest doraźny i na wrednego kreta trudno będzie zadziałać...
opisz trochę co masz za urządzenia i strukturę sieci, jak wstępnie namierzysz szkodnika to może będziesz miał możliwość blokowania i ograniczenia jego zasięgu...

zapytaj na grupie "sieci komputerowe" bo tam będzie bliżej do tego tematu...

a jak rozwiążesz problem to napisz jak :)
Link do wypowiedziLink

konto usunięte

Temat: Zły serwer dhcp w sieci

Grzegorz Czerepak:Wszystko działa dobrze do czasu gdy mądry użytkownik sieci, nie przepnie w swoim routerze wtyczki z łącza wan do łącza lan. Wtedy to on zaczyna przydzielać ludziom dhcp-y, i część z nich pozbawiona jest neta. Pytanie czy jest jakiś sposób na szybkie znalezienie takiego delikwenta?
Sorry ale dlaczego po prostu nie wyłączysz serwera DHCP na innych routerach niż te, którym wolno rozdawać adresy? Jak router będzie miał wyłączone DHCP to niech sobie ten kabel do puszki po piwie nawet wpinają.
Link do wypowiedziLink
Michał Błaszczak

Michał Błaszczak Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...

Temat: Zły serwer dhcp w sieci

Grzegorz Czerepak:
Cześć, mam taki problem, jest sobie sieć złożona z około 500 hostów, adresy dla hostów przydzielane są z serwera dhcp. Wszystko działa dobrze do czasu gdy mądry użytkownik sieci, nie przepnie w swoim routerze wtyczki z łącza wan do łącza lan. Wtedy to on zaczyna przydzielać ludziom dhcp-y, i część z nich pozbawiona jest neta. Pytanie czy jest jakiś sposób na szybkie znalezienie takiego delikwenta?

1) http://dziennik-it.blogspot.com/2009/03/dhcp-probe-wyk...
2) tcpdump -i eth3 port 68 -n
3) nmap -sU -p 67 xxx.xxx.xxx.xxx/24
Spróbuj tak.
Link do wypowiedziLink
Marcin Lencki

Marcin Lencki Administrator IT
Linux/Windows

Temat: Zły serwer dhcp w sieci

W konfiguracji servera dhcp w pliku /etc/dhcp/dhcpd.conf dopisz linijkę authoritative;
wtedy twój server DHCP stanie się serwerem autorytatywnym czyli ważniejszym i to rozwiąże twój problem. Inne servery DHCP u klientów nie bedą brane pod uwagę bo będa zawsze jako non authoritative. Możesz o tym dokładnie poczytać na googlu :)Marcin Lencki edytował(a) ten post dnia 16.06.12 o godzinie 03:42
Link do wypowiedziLink

konto usunięte

Temat: Zły serwer dhcp w sieci

Przemek M.:
A jak chcesz zablokować możliwość podpinania serwerów dhcp to pomocne będzie ip dhcp snooping. No chyba, że switche to nie cisco...

Przełączniki innych producentów (np. Huaweii, Zyxel) również posiadają mechanizm dhcp snooping. Jeśli mechanizmu nie ma można się ratować ACL. Przykład dla Netgear:


access-list 100 deny udp any eq 67 any eq 68

access-list 1 permit every

!

interface range 0/1-0/24

 ip access-group 100 in 1                       

 ip access-group 1 in 2


Do walki z "lewymi" serwerami DHCP polecam narzędzie dhcpstarv. Wykorzystuje atak dhcp starvation.Marcin Ulikowski edytował(a) ten post dnia 18.06.12 o godzinie 09:03
Link do wypowiedziLink
Maciej Ż.

Maciej Ż. człowiek orkiestra

Temat: Zły serwer dhcp w sieci

packetfence - i już nikt nic nie podepnie lewego :)
przy 500 hostach to się można już nabiegać...
Link do wypowiedziLink
Łukasz T.

Łukasz T. administrator
systemów, Grupa
Interia.pl

Temat: Zły serwer dhcp w sieci

Zablokuj po prostu na switchach rozgłaszanie DHCP z portu i po problemie, piszesz, że switch to nie Cisco, ale nie piszesz, że nie zarządzany, na innych też się da ACLki robić.
Link do wypowiedziLink

konto usunięte

Temat: Zły serwer dhcp w sieci

Dobry pomysl na wylaczenie uslugi DHCP na routerach klientow w momencie kiedy kazdy klient moze miec swoj wlasny router...Switche zarzadzalne powinny pomoc. Pozdrawiam.
Link do wypowiedziLink

konto usunięte

Temat: Zły serwer dhcp w sieci

Arkadiusz Z.:
Grzegorz Czerepak:Wszystko działa dobrze do czasu gdy mądry użytkownik sieci, nie przepnie w swoim routerze wtyczki z łącza wan do łącza lan. Wtedy to on zaczyna przydzielać ludziom dhcp-y, i część z nich pozbawiona jest neta. Pytanie czy jest jakiś sposób na szybkie znalezienie takiego delikwenta?
Sorry ale dlaczego po prostu nie wyłączysz serwera DHCP na innych routerach niż te, którym wolno rozdawać adresy? Jak router będzie miał wyłączone DHCP to niech sobie ten kabel do puszki po piwie nawet wpinają.


Jak siec ma 2000 klientow i maja oni mozliwosc podpinania swoich sprzetow bez uzgadnainia z administracja za pomoca routera to jak mamy powylaczac taka usluge na tych urzadzeniach ?
Link do wypowiedziLink

konto usunięte

Temat: Zły serwer dhcp w sieci

Tomasz T.:
Dobry pomysl na wylaczenie uslugi DHCP na routerach klientow w momencie kiedy kazdy klient moze miec swoj wlasny router...Switche zarzadzalne powinny pomoc. Pozdrawiam.


Switche zarzadzalne faktycznie pomagaja uzywamy dlink 3528 i 3526 sa skuteczne po odpowiedniej konfiguracji zabezpieczen nie ma mozliwosci zeby w sieci bylo dhcp badz jakikolwiek syf wszystko jest ucinane w zarodku

Aczkolwiek nie mamy jeszcze w calej sieci takich switchy wiec na swyklych glupich switchach jest problem gdy pojawi sie dhcp niestety my go szukamy fizycznie czyli wpiecie sie do sieci pingowanie bramy i chodzenie od skrzynki do skrzynki i wypinanie goscia ;) Rozwiazanie mamy take ze jesli to my konfigurujemy routery klientow co sie czesto zdarza ustawiamy adres lan routera na adres jego zamieszkania np ul. matejki 3/5 to dajemy 192.168.3.5 to juz nam pomaga bo wiemy w ktorym miejscu mamy szukac a jesli brama jest domyslna z routera to staramy sie na niego zalogowac i wylaczyc mu serwer dhcp o ile jest to mozliwe ;)

PozdrawiamŁukasz Gadek edytował(a) ten post dnia 12.09.12 o godzinie 11:14
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Skryptowalny serwer DHCP




Wyślij zaproszenie do
Anuluj