Grzegorz
Czerepak
Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...
Przemek
M.
Software Engineer,
TomTom
Temat: Zły serwer dhcp w sieci
Jak dostaniesz zły adres to widzisz od razu od kogo.A jak chcesz zablokować możliwość podpinania serwerów dhcp to pomocne będzie ip dhcp snooping. No chyba, że switche to nie cisco...
Grzegorz
Czerepak
Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...
Temat: Zły serwer dhcp w sieci
Niestety switche to nie cisco więc opcja dhcp snooping odpada. Żebym miał dostać zły adres to musiałbym znaleźć lokalizację w którym ten zły dhcp jest umieszczony, w innym przypadku dostaje dobry adres ip z poprawnego dhcp-a.Sieć że tak powiem jest troche rozpalcelowana, więc jeżdżenie i przypinanie się do poszczególnych lokalizacji było by troche uciążliwe.Grzegorz Czerepak edytował(a) ten post dnia 15.06.12 o godzinie 20:21
Przemek
M.
Software Engineer,
TomTom
Temat: Zły serwer dhcp w sieci
Musiałbyś nasłuchiwać broadcasty. Jeśli przyjdzie odpowiedź ze złego serwera to sprawdzasz jego adres MAC, którego szukasz w tablicach na switchach. Chyba, że to switche takie, że nic na nich nie widzisz.Adam W. -
Temat: Zły serwer dhcp w sieci
Klient dhcp skorzysta z serwera dhcp który pierwszy mu odpowie -> w 99% przypadków zagęszczenie klientów korzystających ze złego serwera dhcp będzie wskazywało na jego lokalizację, jeżeli delikwent robi to złośliwie (włącza serwer dhcp na 5 minut i wyłącza) to namierzenie go ręcznie bez dhcp snooping będzie faktycznie trudne, możesz spróbować wyłączyć swój serwer DHCP (ewentualnie wykluczyć siebie jeżeli masz taką możliwość) i samemu uzyskać adres od "złego".jest narzędzie dhcpexplorer, wireshark, być może Ci pomoże, jednak charakter tego narzędzia jest doraźny i na wrednego kreta trudno będzie zadziałać...
opisz trochę co masz za urządzenia i strukturę sieci, jak wstępnie namierzysz szkodnika to może będziesz miał możliwość blokowania i ograniczenia jego zasięgu...
zapytaj na grupie "sieci komputerowe" bo tam będzie bliżej do tego tematu...
a jak rozwiążesz problem to napisz jak :)
konto usunięte
Temat: Zły serwer dhcp w sieci
Grzegorz Czerepak:Wszystko działa dobrze do czasu gdy mądry użytkownik sieci, nie przepnie w swoim routerze wtyczki z łącza wan do łącza lan. Wtedy to on zaczyna przydzielać ludziom dhcp-y, i część z nich pozbawiona jest neta. Pytanie czy jest jakiś sposób na szybkie znalezienie takiego delikwenta?Sorry ale dlaczego po prostu nie wyłączysz serwera DHCP na innych routerach niż te, którym wolno rozdawać adresy? Jak router będzie miał wyłączone DHCP to niech sobie ten kabel do puszki po piwie nawet wpinają.
Michał
Błaszczak
Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...
Temat: Zły serwer dhcp w sieci
Grzegorz Czerepak:
Cześć, mam taki problem, jest sobie sieć złożona z około 500 hostów, adresy dla hostów przydzielane są z serwera dhcp. Wszystko działa dobrze do czasu gdy mądry użytkownik sieci, nie przepnie w swoim routerze wtyczki z łącza wan do łącza lan. Wtedy to on zaczyna przydzielać ludziom dhcp-y, i część z nich pozbawiona jest neta. Pytanie czy jest jakiś sposób na szybkie znalezienie takiego delikwenta?
1) http://dziennik-it.blogspot.com/2009/03/dhcp-probe-wyk...
2) tcpdump -i eth3 port 68 -n
3) nmap -sU -p 67 xxx.xxx.xxx.xxx/24
Spróbuj tak.
Marcin
Lencki
Administrator IT
Linux/Windows
Temat: Zły serwer dhcp w sieci
W konfiguracji servera dhcp w pliku /etc/dhcp/dhcpd.conf dopisz linijkę authoritative;wtedy twój server DHCP stanie się serwerem autorytatywnym czyli ważniejszym i to rozwiąże twój problem. Inne servery DHCP u klientów nie bedą brane pod uwagę bo będa zawsze jako non authoritative. Możesz o tym dokładnie poczytać na googlu :)Marcin Lencki edytował(a) ten post dnia 16.06.12 o godzinie 03:42
konto usunięte
Temat: Zły serwer dhcp w sieci
Przemek M.:
A jak chcesz zablokować możliwość podpinania serwerów dhcp to pomocne będzie ip dhcp snooping. No chyba, że switche to nie cisco...
Przełączniki innych producentów (np. Huaweii, Zyxel) również posiadają mechanizm dhcp snooping. Jeśli mechanizmu nie ma można się ratować ACL. Przykład dla Netgear:
access-list 100 deny udp any eq 67 any eq 68
access-list 1 permit every
!
interface range 0/1-0/24
ip access-group 100 in 1
ip access-group 1 in 2
Do walki z "lewymi" serwerami DHCP polecam narzędzie dhcpstarv. Wykorzystuje atak dhcp starvation.Marcin Ulikowski edytował(a) ten post dnia 18.06.12 o godzinie 09:03
Maciej Ż. człowiek orkiestra
Temat: Zły serwer dhcp w sieci
packetfence - i już nikt nic nie podepnie lewego :)przy 500 hostach to się można już nabiegać...
Łukasz
T.
administrator
systemów, Grupa
Interia.pl
Temat: Zły serwer dhcp w sieci
Zablokuj po prostu na switchach rozgłaszanie DHCP z portu i po problemie, piszesz, że switch to nie Cisco, ale nie piszesz, że nie zarządzany, na innych też się da ACLki robić.konto usunięte
Temat: Zły serwer dhcp w sieci
Dobry pomysl na wylaczenie uslugi DHCP na routerach klientow w momencie kiedy kazdy klient moze miec swoj wlasny router...Switche zarzadzalne powinny pomoc. Pozdrawiam.konto usunięte
Temat: Zły serwer dhcp w sieci
Arkadiusz Z.:
Grzegorz Czerepak:Wszystko działa dobrze do czasu gdy mądry użytkownik sieci, nie przepnie w swoim routerze wtyczki z łącza wan do łącza lan. Wtedy to on zaczyna przydzielać ludziom dhcp-y, i część z nich pozbawiona jest neta. Pytanie czy jest jakiś sposób na szybkie znalezienie takiego delikwenta?Sorry ale dlaczego po prostu nie wyłączysz serwera DHCP na innych routerach niż te, którym wolno rozdawać adresy? Jak router będzie miał wyłączone DHCP to niech sobie ten kabel do puszki po piwie nawet wpinają.
Jak siec ma 2000 klientow i maja oni mozliwosc podpinania swoich sprzetow bez uzgadnainia z administracja za pomoca routera to jak mamy powylaczac taka usluge na tych urzadzeniach ?
konto usunięte
Temat: Zły serwer dhcp w sieci
Tomasz T.:
Dobry pomysl na wylaczenie uslugi DHCP na routerach klientow w momencie kiedy kazdy klient moze miec swoj wlasny router...Switche zarzadzalne powinny pomoc. Pozdrawiam.
Switche zarzadzalne faktycznie pomagaja uzywamy dlink 3528 i 3526 sa skuteczne po odpowiedniej konfiguracji zabezpieczen nie ma mozliwosci zeby w sieci bylo dhcp badz jakikolwiek syf wszystko jest ucinane w zarodku
Aczkolwiek nie mamy jeszcze w calej sieci takich switchy wiec na swyklych glupich switchach jest problem gdy pojawi sie dhcp niestety my go szukamy fizycznie czyli wpiecie sie do sieci pingowanie bramy i chodzenie od skrzynki do skrzynki i wypinanie goscia ;) Rozwiazanie mamy take ze jesli to my konfigurujemy routery klientow co sie czesto zdarza ustawiamy adres lan routera na adres jego zamieszkania np ul. matejki 3/5 to dajemy 192.168.3.5 to juz nam pomaga bo wiemy w ktorym miejscu mamy szukac a jesli brama jest domyslna z routera to staramy sie na niego zalogowac i wylaczyc mu serwer dhcp o ile jest to mozliwe ;)
PozdrawiamŁukasz Gadek edytował(a) ten post dnia 12.09.12 o godzinie 11:14
Podobne tematy
-
Administratorzy » Skryptowalny serwer DHCP -
-
Administratorzy » Serwer DNS - różne wyniki dla różnych sieci -
-
Administratorzy » Serwer DHCP i DNS - znacie jakiś fajny i darmowy? -
-
Administratorzy » Jaki serwer sprzetowy? -
-
Administratorzy » Projekt sieci na "światłach" najlepsze rozwiązanie -
-
Administratorzy » Mały serwer w firmie -
-
Administratorzy » Media serwer dla strony -
-
Administratorzy » Serwer logów - co logować? -
-
Administratorzy » Tracę pingi w lokalnej sieci -
-
Administratorzy » Udostępnienie plików na urządzeniach mobilnych w sieci... -
Następna dyskusja: