Pregunta ¿Cómo puedo encontrar si hay un servidor DHCP no autorizado en mi red?


¿Cuál es el mejor enfoque para determinar si tengo un servidor DHCP no autorizado dentro de mi red?

Me pregunto cómo la mayoría de los administradores abordan este tipo de problemas. encontré Sonda DHCP a través de la búsqueda, y pensó en probarlo. ¿Alguien ha tenido experiencia con eso? (Me gustaría saber antes de tomarme el tiempo para compilarlo e instalarlo).

¿Conoce alguna herramienta útil o las mejores prácticas para encontrar servidores DHCP no autorizados?


87
2018-05-15 08:12


origen


Herramienta de MS y muy simple de usar! Detección del servidor DHCP de Rogue - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/… - aa.malta
He encontrado una referencia oficial a su enlace aa.malta en social.technet.microsoft.com/wiki/contents/articles/…pero el enlace ya no parece funcionar a partir de 2016. Me muestra las publicaciones del blog de 2009, pero solo veo las publicaciones del 6 de julio y el 29 de junio. No parece haber una publicación del 3 de julio como lo indica la URL del enlace al corriente. Parece que MS lo eliminó por quién sabe qué razón. - Daniel
Parece que este enlace directo (que encontré en un sitio de WordPress) funciona para descargar el archivo desde un servidor de Microsoft. Link está funcionando a partir de enero de 2016. Dado que la URL es Microsoft, creo que se puede confiar, pero no garantizo que: blogs.technet.com/cfs-file.ashx/__key/… - Daniel


Respuestas:


Un método simple es simplemente ejecutar un sniffer como tcpdump / wireshark en una computadora y enviar una solicitud DHCP. Si ve alguna otra oferta desde su servidor DHCP real, sabrá que tiene un problema.


53
2018-05-15 08:31



Ayuda a usar el siguiente filtro: "bootp.type == 2" (solo para mostrar las ofertas DHCP y ver si hay respuesta de fuentes diferentes / desconocidas) - l0c0b0x
Utilice un programa como DHCP-Find (softpedia.com/get/Network-Tools/Network-IP-Scanner/…) junto con TCPDump / Wireshark para desencadenar respuestas DHCP. - saluce
¿Puedes ofrecer una solución más específica? - tarabyte
@tarabyte No estoy seguro de qué solución o mejoras debo ofrecer. Creo que esta pregunta tiene una buena cobertura de la docena de otras buenas respuestas? Mi opción de ir a estos días es simplemente configurar los interruptores para bloquear DHCP como sugirió Jason Luther. ¿Hubo algo específico que necesitaba ser cubierto mejor? - Zoredache
Esperaba más de una secuencia de comandos que hacen uso de tcpdump, arp, etc. con parámetros explícitos y explicación de esos parámetros. - tarabyte


Para resumir y agregar a algunas de las otras respuestas:

Desactive temporalmente su servidor DHCP de producción y vea si otros servidores responden. 

Puede obtener la dirección IP del servidor ejecutando ipconfig /all en una máquina Windows, y luego puede obtener la dirección MAC buscando esa dirección IP usando arp -a.

En una Mac, ejecute ipconfig getpacket en0 (o en1). Ver http://www.macosxhints.com/article.php?story=20060124152826491.

La información del servidor DHCP generalmente está en / var / log / messages. sudo grep -i dhcp /var/log/messages*

Deshabilitar el servidor DHCP de producción podría no ser una buena opción, por supuesto.

Utilice una herramienta que busque específicamente servidores DHCP no autorizados. 

Ver http://en.wikipedia.org/wiki/Rogue_DHCP para obtener una lista de herramientas (muchas de las cuales se enumeraron en otras respuestas).

Configurar interruptores para bloquear ofertas DHCP.

La mayoría de los switches administrados se pueden configurar para evitar servidores DHCP no autorizados:


21
2018-05-15 09:18





dhcpdump, que toma forma de entrada tcpdump y muestra solo paquetes relacionados con DHCP. Me ayudó a encontrar Windows rootkited, haciéndose pasar por DHCP falso en nuestra LAN.


16
2018-05-15 14:16





Los enfoques de Wireshark / DHCP explorer / DHCP Probe son válidos para una única comprobación periódica. Sin embargo, recomiendo mirar en DHCP Snooping Soporte en su red. Esta función proporcionará protección constante contra servidores DHCP no autorizados en la red, y es compatible con muchos proveedores de hardware diferentes.

Aquí está el conjunto de características como se indica en el Cisco docs.

• Valida los mensajes DHCP recibidos de fuentes no confiables y filtra los mensajes no válidos.

• La velocidad limita el tráfico DHCP de fuentes confiables y no confiables.

• Crea y mantiene la base de datos de enlaces de indagación DHCP, que contiene información sobre hosts no confiables con direcciones IP arrendadas.

• Utiliza la base de datos de enlace de indagación DHCP para validar las solicitudes posteriores de hosts no confiables.


15
2018-05-28 23:08



El documento DHCP Snooping de Juniper: juniper.net/techpubs/en_US/junos9.2/topics/concept/…  Proyección de DHCP de ProCurve: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/… - sclarson


dhcploc.exe Es la forma más rápida y práctica en sistemas Windows. Está disponible en las herramientas de soporte de XP. Las herramientas de soporte están en cada disco OEM / retail XP, pero pueden estar o no en "discos de recuperación" proporcionados por algunos OEM. Tú también puedes descargar ellos de MS.

Es una herramienta de línea de comandos simple. Tu corres dhcploc {su direcciónIP} y luego presione la tecla 'd' para hacer un descubrimiento falso. Si lo deja en funcionamiento sin presionar ninguna tecla, mostrará todas las solicitudes DHCP y responderá lo que escuche. Presione 'q' para salir.


10
2018-05-15 10:31



Simplemente usé esto en combinación con matar puertos de switch individuales para rastrear un servidor fraudulento con el que estábamos tratando. ¡Buen material! - DHayes
Aún puede usar DHCPloc.exe en Windows 7: 1. Descargue "Herramientas de soporte de Windows XP Service Pack 2" desde [aquí] [1]. 2. Haga clic con el botón derecho en el archivo ejecutable y seleccione Propiedades-> Compatibilidad, luego active el Modo de compatibilidad y configúrelo en "Windows XP (Service Pack 3)". 3. Instale de manera normal. DHCPLoc.exe funciona bien en mi instalación de Win7 x64. [1]: microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
Acabo de notar que puede descargar solo el ejecutable desde la siguiente ubicación y funciona bien en Win 10 x64: galería.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


Scapy es una herramienta de creación de paquetes basada en python que es buena para estas tareas de clasificación. Hay un ejemplo de cómo hacer exactamente esto aquí.


9
2017-08-24 23:48



Wow, creo que Scapy es tan poderoso después de profundizar en él durante varios días. Supera las herramientas de mierda como dhcpfind.exe y dhcploc.exe. Scapy 2.2 se puede ejecutar en Linux y Windows, probé ambos. La única barrera es que DEBES conocer el lenguaje de programación Python hasta cierto punto para aprovechar su poder. - Jimm Chen
El enlace que has publicado está roto. - Jason S
@JasonS Hola, he actualizado el enlace, pero el cambio está pendiente de revisión por pares ... Mientras espera, puede encontrarlo aquí: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


Para ampliar en l0c0b0xcomentario sobre el uso de bootp.type == 2 como un filtro. El filtro bootp.type solo está disponible en Wireshark / tshark. No está disponible en tcpdump y la ubicación contextual de su comentario me hizo creer.

Tshark funciona perfectamente para esto.

Nuestra red está dividida en numerosos dominios de difusión, cada uno con su propia sonda basada en Linux con un punto de presencia en el dominio de difusión "local" y en una subred administrativa de una forma u otra. Tshark combinado con ClusterSSH me permite buscar fácilmente el tráfico DHCP o (cualquier otra cosa) en las esquinas más alejadas de la red.

Esto encontrará respuestas DHCP usando Linux:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



Muy útil, pasé un poco de tiempo tratando de averiguar por qué estaba recibiendo tcpdump: syntax error. Incluso publiqué una pregunta al respecto, tu respuesta me desbloqueó, ¡gracias! networkengineering.stackexchange.com/questions/39534/… - Elijah Lynn
Además, creo que algo ha cambiado con el -R <Read filter>. yo obtengo tshark: -R without -2 is deprecated. For single-pass filtering use -Y.. -Y funciona muy bien - Elijah Lynn


una vez que haya establecido que hay un servidor dhcp falso en la red, encontré que la forma más rápida de resolverlo era ...

Envíe un correo electrónico a toda la compañía diciendo:

"cuál de ustedes ha agregado un enrutador inalámbrico a la LAN, ha eliminado Internet para todos los demás"

espere una respuesta tímida, o el dispositivo conflictivo desaparezca, rápidamente :)


6
2018-05-15 08:28





Deshabilite el servidor DHCP principal y (re) configure una conexión.

Si obtienes una dirección IP, tienes un pícaro.

Si tiene un Linux a mano, el estándar dhcpclient le informa la dirección IP del servidor DHCP (de lo contrario, puede detectar el tráfico para ver de dónde proviene la respuesta de DHCP).


3
2018-05-15 12:05



Si bien esto funcionaría, por supuesto, detener un servidor DHCP de producción probablemente no sea el mejor enfoque si realmente le preocupa proporcionando el servicio... - Massimo
Depende de la cantidad de personas que está sirviendo. En la mayoría de los casos, puede interrumpir el servicio por un par de minutos y nadie lo notará, especialmente a la mitad del día, cuando la mayoría de las personas ya tienen su contrato de arrendamiento. - Vinko Vrsalovic


Hay varias formas, si ejecuta una red pequeña, la forma más sencilla es apagar / deshabilitar / desenchufar su servidor dhcp y luego ejecutar ipconfig / renew o similar en un cliente y si obtienes una IP tienes algo en tu red.

Otra forma sería usar Wireshark el capturador / analizador de paquetes para ver el tráfico de su red y encontrar conexiones DHCP, hay una hoja de trabajo de laboratorio sobre cómo hacer esto disponible desde aquí.

También hay una serie de utilidades disponibles que se proponen para hacer esto. Explorador DHCP otra es la sonda DHCP que mencionaste en tu publicación original.


3
2018-03-13 08:02