سؤال كيف يمكنني العثور على ما إذا كان هناك خادم DHCP خادع على الشبكة الخاصة بي؟


ما هو أفضل نهج لتحديد ما إذا كان لدي خادم DHCP خادع داخل شبكتي؟

أتساءل كيف يتعامل معظم المدراء مع هذه الأنواع من المشاكل. وجدت دقق DHCP من خلال البحث والتفكير في تجربتها. وقد أي شخص لديه خبرة معها؟ (أود أن أعرف قبل أخذ الوقت لتجميعها وتثبيتها).

هل تعرف أي أدوات مفيدة أو أفضل الممارسات نحو إيجاد ملقمات DHCP خادعة؟


87
2018-05-15 08:12


الأصل


أداة MS وبسيطة جدا للاستخدام! كشف خادع خادم DHCP - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/... - aa.malta
لقد وجدت إشارة رسمية إلى الرابط الخاص بك aa.malta في social.technet.microsoft.com/wiki/contents/articles/... ولكن يبدو أن الرابط لم يعد يعمل اعتبارًا من عام 2016. ويعرض لي مشاركات المدونات منذ عام 2009 ، ولكني لا أرى سوى المشاركات في 6 تموز و 29 حزيران. لا يبدو أن هناك مشاركة في 3 تموز كما هو مشار إليه في عنوان URL للرابط نشر. يبدو أن MS إزالته لمن يعرف السبب. - Daniel
يبدو أن هذا الارتباط المباشر (الذي وجدته على موقع Wordpress) يعمل على تنزيل الملف من خادم Microsoft. يعمل الارتباط اعتبارًا من يناير 2016. وبما أن عنوان URL هو Microsoft ، أشعر أنه يمكن الوثوق به ، لكن لا أضمن أي ضمانات: blogs.technet.com/cfs-file.ashx/__key/... - Daniel


الأجوبة:


أسلوب واحد بسيط هو ببساطة تشغيل sniffer مثل tcpdump / wireshark على جهاز كمبيوتر وإرسال طلب DHCP. إذا كنت ترى أي عروض أخرى ثم من خادم DHCP الحقيقي الخاص بك فأنت تعرف أن لديك مشكلة.


53
2018-05-15 08:31



يساعد على استخدام المرشح التالي: "bootp.type == 2" (لعرض فقط عروض DHCP ، ومعرفة ما إذا كانت هناك استجابة من مصادر مختلفة / غير معروفة) - l0c0b0x
استخدام برنامج مثل DHCP-Find (softpedia.com/get/Network-Tools/Network-IP-Scanner/...) بالتزامن مع TCPDump / Wireshark لتحفيز استجابات DHCP. - saluce
هل يمكنك تقديم حل أكثر تحديدًا؟ - tarabyte
tarabyte لست متأكداً ما هو الحل الأول أو التحسينات التي يجب أن أقدمها. أعتقد أن هذا السؤال لديه تغطية جيدة من عشرات الإجابات الجيدة الأخرى؟ خيار الانتقال إلى بلدي في هذه الأيام هو مجرد تكوين مفاتيحك لمنع DHCP كما اقترح جيسون لوثر. هل كان هناك شيء محدد يجب تغطيته بشكل أفضل؟ - Zoredache
كنت أتوقع المزيد من تسلسل الأوامر التي تستخدم tcpdump، arp، وغيرها مع المعلمات واضحة وشرح تلك المعلمات. - tarabyte


للتلخيص وإضافة بعض الإجابات الأخرى:

قم بتعطيل ملقم DHCP الخاص بالإنتاج بشكل مؤقت ومعرفة ما إذا كانت الخوادم الأخرى تستجيب. 

يمكنك الحصول على عنوان IP الخاص بالخادم عن طريق التشغيل ipconfig /all على جهاز windows ، ومن ثم يمكنك الحصول على عنوان MAC بالبحث عن عنوان IP هذا باستخدام arp -a.

على ماك ، تشغيل ipconfig getpacket en0 (أو en1). نرى http://www.macosxhints.com/article.php؟story=20060124152826491.

عادةً ما تكون معلومات خادم DHCP موجودة في / var / log / messages. sudo grep -i dhcp /var/log/messages*

قد لا يكون تعطيل خادم DHCP للإنتاج خيارًا جيدًا ، بالطبع.

استخدم أداة تبحث على وجه التحديد عن خوادم DHCP المارقة 

نرى http://en.wikipedia.org/wiki/Rogue_DHCP للحصول على قائمة بالأدوات (كثير منها مذكور في الردود الأخرى).

تكوين مفاتيح لمنع عروض DHCP

يمكن تكوين معظم مفاتيح الإدارة المدارة لمنع خوادم DHCP المارقة:


21
2018-05-15 09:18





dhcpdumpوالذي يأخذ شكل الإدخال تشبدومب ويظهر فقط الحزم ذات الصلة DHCP. ساعدني في العثور على Windows rootkited ، والتظاهر ك DHCP مزيف في شبكة الاتصال المحلية الخاصة بنا.


16
2018-05-15 14:16





تعتبر أساليب استكشاف Wireshark / DHCP / DHCP Probe مفيدة لمرة واحدة أو لفحص دوري. ومع ذلك ، أود أن أوصي النظر فيها DHCP التطفل دعم على شبكتك. توفر هذه الميزة حماية مستمرة من ملقمات DHCP المارقة على الشبكة ، ويتم دعمها بواسطة العديد من موردي الأجهزة المختلفة.

وهنا مجموعة الميزة كما هو مبين في مستندات سيسكو.

• التحقق من صحة رسائل DHCP المتلقاة من مصادر غير موثوقة وتصفية الرسائل غير الصالحة.

• معدل الحد من حركة DHCP من مصادر موثوقة وغير موثوق بها.

• يبني ويحافظ على قاعدة بيانات التجميع DHCP التطفل ، والذي يحتوي على معلومات حول المضيفين غير موثوق بها مع عناوين IP المؤجر.

• يستخدم قاعدة بيانات تجليد DHCP التطفل للتحقق من صحة الطلبات اللاحقة من المضيفين غير موثوق بهم.


15
2018-05-28 23:08



Juniper's DHCP Snooping doc: juniper.net/techpubs/en_US/junos9.2/topics/concept/...  التلميح DHCP ProCurve: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/... - sclarson


dhcploc.exe هي الطريقة الأسرع والأكثر استخدامًا على أنظمة Windows. وهي متوفرة في أدوات دعم XP. أدوات الدعم على كل قرص XP / التجزئة الخاص بـ OEM ، ولكن قد يكون أو لا يكون على "أقراص الاسترداد" التي يوفرها بعض OEMs. بامكانك ايضا تحميل منهم من MS.

انها أداة سطر الأوامر بسيطة. أنت تركض dhcploc {yourIPaddress} ثم اضغط على المفتاح 'd' للقيام باكتشاف مزيف. إذا تركته يعمل بدون الضغط على أي مفاتيح ، فسيعرض كل طلب DHCP ويجيب عليه. اضغط على "q" للإقلاع.


10
2018-05-15 10:31



فقط استخدم هذا في تركيبة مع قتل منافذ التبديل الفردي لتعقب خادم مخادق متستر كنا نتعامل معها. أشياء جيدة! - DHayes
لا يزال بإمكانك استخدام DHCPloc.exe على Windows 7: 1. قم بتنزيل "أدوات دعم Windows XP Service Pack 2" من [هنا] [1]. 2. انقر بزر الماوس الأيمن على الملف التنفيذي واختر Properties-> Compatibility ثم قم بتشغيل وضع التوافق واضبطه على "Windows XP (Service Pack 3)". 3. تثبيت كالمعتاد. DHCPLoc.exe يعمل بشكل جيد على تثبيت Win7 x64 الخاص بي. [1]: microsoft.com/en-us/download/details.aspx؟id=18546 - parsley72
لقد لاحظت أنه يمكنك فقط تنزيل الملف التنفيذي من الموقع التالي ويعمل بشكل جيد تحت Win 10 x64: gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


Scapy هو أداة صياغة حزم تستند إلى python وهو جيد لمهام الفرز هذه. هناك مثال على كيفية القيام بذلك بالضبط هنا.


9
2017-08-24 23:48



نجاح باهر ، أجد Scapy قوية جدا بعد الخوض فيه لعدة أيام. فإنه يفوق أدوات crappy مثل dhcpfind.exe و dhcploc.exe. يمكن تشغيل Scapy 2.2 على Linux و Windows - حاولت كليهما. الحاجز الوحيد هو أن تعرف لغة البرمجة Python إلى حد ما لتسخير قوتها. - Jimm Chen
الرابط الذي نشرته مكسور - Jason S
JasonS Hi لقد قمت بتحديث الرابط ، ولكن التغيير قيد المراجعة النظيرة ... في حين يمكنك الانتظار للعثور عليه هنا: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


للتوسع في l0c0b0xتعليق حول استخدام bootp.type == 2 كمرشح. لا يتوفر فلتر bootp.type إلا في Wireshark / tshark. إنه غير متوفر في tcpdump الذي يميلني إليه الموقع السياقي لتعليقه.

Tshark يعمل تماما لهذا الغرض.

لدينا شبكتنا مقسمة إلى العديد من نطاقات البث ، كل منها يحتوي على مسبار خاص بها لينكس مع نقطة تواجد على نطاق البث "المحلي" وعلى شبكة فرعية إدارية بطريقة أو بأخرى. Tshark جنبا إلى جنب مع ClusterSSH يسمح لي بالبحث بسهولة عن حركة مرور DHCP (أو أي شيء آخر لهذا الأمر) على زوايا الشبكة الأخرى.

هذا سوف يجد ردود DHCP باستخدام لينكس:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



من المفيد جدًا ، لقد قضيت وقتًا معقولًا في محاولة معرفة سبب حصولي tcpdump: syntax error. حتى نشر سؤال على ذلك ، إجابتك إجابتي لي ، وذلك بفضل! networkengineering.stackexchange.com/questions/39534/... - Elijah Lynn
أيضا ، أعتقد أن شيئا قد تغير مع -R <Read filter>. انا حصلت tshark: -R without -2 is deprecated. For single-pass filtering use -Y.. -Y يعمل بشكل جيد. - Elijah Lynn