Frage Wie finde ich heraus, ob ein Rogue-DHCP-Server in meinem Netzwerk vorhanden ist?


Was ist der beste Ansatz, um festzustellen, ob ich einen Rogue-DHCP-Server in meinem Netzwerk habe?

Ich frage mich, wie die meisten Administratoren diese Art von Problemen angehen. ich fand DHCP-Probe durch Suchen und über das Ausprobieren nachdenken. Hat jemand Erfahrung damit? (Ich würde es gerne wissen, bevor ich mir die Zeit nehme, es zu kompilieren und zu installieren).

Kennen Sie irgendwelche nützlichen Tools oder Best Practices, um bösartige DHCP-Server zu finden?


87
2018-05-15 08:12


Ursprung


MS Tool und sehr einfach zu bedienen! Rogue DHCP Server-Erkennung - RogueChecker.zip blogs.technet.com/b/teamdhcp/archiv/2009/07/03/ ... - aa.malta
Ich habe einen offiziellen Verweis auf Ihren Link aa.malta gefunden social.technet.microsoft.com/wiki/contents/articles/... aber der Link scheint ab 2016 nicht mehr zu funktionieren. Er zeigt mir Blog-Posts von 2009, aber ich sehe nur Posts für den 6. Juli und den 29. Juni. Es scheint keinen Post vom 3. Juli zu geben, wie durch die Link-URL angezeigt wird Gesendet. Sieht so aus, als ob MS sie aus irgendeinem Grund entfernt hat. - Daniel
Sieht aus wie dieser direkte Link (den ich auf einer Wordpress-Site gefunden habe), um die Datei von einem Microsoft Server herunterzuladen. Link funktioniert seit Januar 2016. Da die URL Microsoft ist, glaube ich, dass es vertrauenswürdig ist, aber ich mache keine Garantien: blogs.technet.com/cfs-file.ashx/__key/... - Daniel


Antworten:


Eine einfache Methode besteht darin, einen Sniffer wie tcpdump / wireshark auf einem Computer auszuführen und eine DHCP-Anfrage zu senden. Wenn Sie andere Angebote als von Ihrem echten DHCP-Server sehen, dann wissen Sie, dass Sie ein Problem haben.


53
2018-05-15 08:31



Hilft bei der Verwendung des folgenden Filters: "bootp.type == 2" (um nur DHCP-Angebote anzuzeigen und festzustellen, ob eine Antwort von verschiedenen / unbekannten Quellen vorliegt) - l0c0b0x
Verwenden Sie ein Programm wie DHCP-Find (softpedia.com/get/Network-Tools/Network-IP-Scanner/...) in Verbindung mit TCPDump / Wireshark, um DHCP-Antworten auszulösen. - saluce
Können Sie eine spezifischere Lösung anbieten? - tarabyte
@tarabyte Ich bin nicht sicher, welche Lösung ich oder Verbesserungen, die ich anbieten sollte. Ich denke, dass diese Frage aus dem Dutzend anderer guter Antworten ziemlich gut abgedeckt ist? Meine goto Option in diesen Tagen ist, nur Ihre Schalter zu konfigurieren, um DHCP zu blockieren, wie Jason Luther vorschlug. Gab es etwas Spezifisches, das besser abgedeckt werden musste? - Zoredache
Ich habe mehr von einer Abfolge von Befehlen erwartet, die davon Gebrauch machen tcpdump, arpusw. mit expliziten Parametern und Erläuterung dieser Parameter. - tarabyte


Um einige der anderen Antworten zu wiederholen und hinzuzufügen:

Deaktivieren Sie vorübergehend den DHCP-Produktionsserver, um festzustellen, ob andere Server reagieren. 

Sie können die IP-Adresse des Servers abrufen, indem Sie ausführen ipconfig /all auf einer Windows-Maschine, und dann können Sie die MAC-Adresse erhalten, indem Sie nach dieser IP-Adresse suchen arp -a.

Auf einem Mac, lauf ipconfig getpacket en0 (oder en1). Sehen http://www.macosxhints.com/article.php?story=20060124152826491.

Die DHCP-Serverinformationen befinden sich normalerweise in / var / log / messages. sudo grep -i dhcp /var/log/messages*

Die Deaktivierung Ihres Produktions-DHCP-Servers ist natürlich keine gute Option.

Verwenden Sie ein Tool, das speziell nach bösartigen DHCP-Servern sucht 

Sehen http://en.wikipedia.org/wiki/Rogue_DHCP für eine Liste von Werkzeugen (von denen viele in anderen Antworten aufgeführt waren).

Konfigurieren Sie Switches, um DHCP-Angebote zu blockieren

Die meisten verwalteten Switches können so konfiguriert werden, dass bösartige DHCP-Server verhindert werden:


21
2018-05-15 09:18





dhcpdump, die Eingabeformular nimmt tcpdump und zeigt nur DHCP-bezogene Pakete an. Hat mir geholfen, rootkited Windows zu finden und sich in unserem LAN als gefälschten DHCP auszugeben.


16
2018-05-15 14:16





Die Ansätze von Wireshark / DHCP Explorer / DHCP Probe sind gut für eine einmalige oder regelmäßige Überprüfung. Ich würde jedoch empfehlen, sich zu informieren DHCP-Snooping Unterstützung in Ihrem Netzwerk. Diese Funktion bietet ständigen Schutz vor bösartigen DHCP-Servern im Netzwerk und wird von vielen verschiedenen Hardwareanbietern unterstützt.

Hier ist das Feature-Set wie in der Cisco-Dokumente.

• Validiert DHCP-Nachrichten, die von nicht vertrauenswürdigen Quellen empfangen werden, und filtert ungültige Nachrichten heraus.

• Rate - Begrenzt den DHCP-Verkehr von vertrauenswürdigen und nicht vertrauenswürdigen Quellen.

• Erstellt und verwaltet die Binding-Datenbank für DHCP-Snooping, die Informationen zu nicht vertrauenswürdigen Hosts mit gemieteten IP-Adressen enthält.

• Nutzt die DHCP-Snooping-Bindungsdatenbank, um nachfolgende Anfragen von nicht vertrauenswürdigen Hosts zu validieren.


15
2018-05-28 23:08



Juniper DHCP Snooping doc: juniper.net/techpubs/de_DE/junos9.2/topics/concept/...  DHCP-Snooping von ProCurve: h40060.www4.hp.com/procurve/uk/de/pdfs/application-notes/... - sclarson


dhcploc.exe ist der schnellste und praktischste Weg auf Windows-Systemen. Es ist in den XP Support Tools verfügbar. Die Supporttools befinden sich auf jeder OEM- / Einzelhandels-XP-Diskette, aber möglicherweise auf "Wiederherstellungsdisketten", die von einigen OEMs bereitgestellt werden. Du kannst auch herunterladen sie von MS.

Es ist ein einfaches Kommandozeilen-Tool. Sie laufen dhcploc {IhreIP-Adresse} Drücken Sie dann die Taste "d", um eine falsche Entdeckung zu machen. Wenn Sie es ohne Drücken irgendwelcher Tasten laufen lassen, zeigt es jede DHCP-Anfrage an und antwortet, dass sie hört. Drücke 'q' um zu beenden.


10
2018-05-15 10:31



Habe das nur in Kombination mit dem Töten einzelner Switch-Ports benutzt, um einen hinterhältigen Schurken-Server ausfindig zu machen, mit dem wir es zu tun hatten. Gutes Zeug! - DHayes
Sie können DHCPloc.exe weiterhin unter Windows 7 verwenden: 1. Laden Sie "Windows XP Service Pack 2-Supporttools" von [hier] [1] herunter. 2. Klicken Sie mit der rechten Maustaste auf die ausführbare Datei und wählen Sie Eigenschaften-> Kompatibilität. Aktivieren Sie dann den Kompatibilitätsmodus und legen Sie ihn auf "Windows XP (Service Pack 3)" fest. 3. Installieren Sie wie gewohnt. DHCPLoc.exe funktioniert gut auf meiner Win7 x64-Installation. [1]: microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
Ich habe gerade bemerkt, dass Sie nur die ausführbare Datei von der folgenden Stelle herunterladen können und es funktioniert gut unter Win 10 x64: gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


Scapy ist ein Python-basiertes Packet-Crafting-Tool, das für diese Sortieraufgaben gut geeignet ist. Es gibt ein Beispiel dafür, wie genau das gemacht werden kann Hier.


9
2017-08-24 23:48



Wow, ich finde, dass Scapy so mächtig ist, nachdem er sich mehrere Tage lang damit beschäftigt hat. Es übertrifft die beschissenen Tools wie dhcpfind.exe und dhcploc.exe. Scapy 2.2 kann unter Linux und Windows laufen - ich habe beides versucht. Die einzige Hürde besteht darin, dass Sie Python-Programmiersprache einigermaßen kennen müssen, um ihre Macht zu nutzen. - Jimm Chen
Der von Ihnen gepostete Link ist unterbrochen - Jason S
@JasonS Hallo Ich habe den Link aktualisiert, aber der Wechsel steht noch aus Peer Review ... Während du wartest findest du ihn hier: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServer - Huygens


Um weiter zu expandieren l0c0b0x's Kommentar über die Verwendung bootp.type == 2 als ein Filter. Der bootp.type-Filter ist nur in Wireshark / tshark verfügbar. Es ist nicht in tcpdump verfügbar, was mir der kontextuelle Ort seines Kommentars zu glauben gab.

Tshark funktioniert perfekt dafür.

Wir haben unser Netzwerk in zahlreiche Broadcast-Domänen aufgeteilt, jede mit ihrer eigenen Linux-basierten Sonde mit einem Point of Presence in der "lokalen" Broadcast-Domäne und in einem administrativen Subnetz auf die eine oder andere Weise. Tshark kombiniert mit ClusterSSH ermöglicht es mir, leicht nach DHCP-Verkehr oder (noch etwas) in den weiter entfernten Ecken des Netzwerks zu suchen.

Dies wird DHCP-Antworten mit Linux finden:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



Sehr hilfreich, verbrachte ich ein wenig Zeit damit, herauszufinden, warum ich bekam tcpdump: syntax error. Habe sogar eine Frage dazu gepostet, deine Antwort hat mich entsperrt, danke! Netzwerkengineering.stackexchange.com/questions/39534/... - Elijah Lynn
Außerdem denke ich, dass sich etwas mit dem geändert hat -R <Read filter>. Ich bekomme tshark: -R without -2 is deprecated. For single-pass filtering use -Y.. -Y funktioniert gut. - Elijah Lynn


Sobald Sie festgestellt haben, dass es einen Rogue DHCP-Server im Netzwerk gibt, fand ich den schnellsten Weg, es zu lösen, war ...

Senden Sie eine E-Mail-Runde an das ganze Unternehmen und sagen Sie:

"Wer von Ihnen hat einen WLAN-Router in das LAN hinzugefügt, Sie haben das Internet für alle anderen getötet"

erwarte eine schüchterne Antwort, oder das widerstreitende Gerät verschwindet schnell :)


6
2018-05-15 08:28