सवाल अगर मैं अपने नेटवर्क पर एक दुष्ट डीएचसीपी सर्वर है तो मुझे कैसे पता चलेगा?


मेरे नेटवर्क के अंदर एक दुष्ट डीएचसीपी सर्वर है या नहीं, यह निर्धारित करने के लिए सबसे अच्छा तरीका क्या है?

मैं सोच रहा हूं कि अधिकांश व्यवस्थापक इन प्रकार की समस्याओं से कैसे संपर्क करते हैं। मुझे मिला डीएचसीपी जांच खोज के माध्यम से, और इसे आजमाने के बारे में सोचा। क्या किसी के साथ इसका अनुभव हुआ है? (मैं इसे संकलित करने और स्थापित करने के लिए समय लेने से पहले जानना चाहता हूं)।

क्या आप नकली डीएचसीपी सर्वर खोजने के लिए कोई उपयोगी उपकरण या सर्वोत्तम अभ्यास जानते हैं?


87
2018-05-15 08:12


मूल


एमएस उपकरण और उपयोग करने के लिए बहुत आसान है! दुष्ट डीएचसीपी सर्वर का पता लगाने - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/... - aa.malta
मुझे आपके लिंक aa.malta पर आधिकारिक संदर्भ मिला social.technet.microsoft.com/wiki/contents/articles/...लेकिन अब यह लिंक 2016 तक काम नहीं कर रहा है। यह मुझे 200 9 से ब्लॉग पोस्ट दिखाता है, लेकिन मुझे केवल 6 जुलाई और 2 9 जून के लिए पोस्ट दिखाई देती हैं। लिंक यूआरएल द्वारा संकेत के अनुसार 3 जुलाई की पोस्ट नहीं लगती है की तैनाती। ऐसा लगता है कि एमएस ने इसे किस कारण से जानता है, इसे हटा दिया। - Daniel
ऐसा लगता है कि यह सीधा लिंक (जो मुझे एक WordPress साइट पर मिला है) एक Microsoft सर्वर से फ़ाइल डाउनलोड करने के लिए काम करता है। लिंक जनवरी 2016 तक काम कर रहा है। चूंकि यूआरएल माइक्रोसॉफ्ट है, मुझे लगता है कि इसे भरोसा किया जा सकता है, लेकिन मुझे कोई गारंटी नहीं है: blogs.technet.com/cfs-file.ashx/__key/... - Daniel


जवाब:


एक साधारण तरीका है कि एक कंप्यूटर पर tcpdump / wireshark जैसे स्नफ़फर को चलाने और एक डीएचसीपी अनुरोध भेजें। यदि आप अपने असली DHCP सर्वर से अन्य ऑफ़र देखते हैं तो आपको पता है कि आपको कोई समस्या है।


53
2018-05-15 08:31



निम्न फ़िल्टर का उपयोग करने में मदद करता है: "bootp.type == 2" (केवल डीएचसीपी ऑफ़र दिखाने के लिए, और देख रहा है कि अलग / अज्ञात स्रोतों से प्रतिक्रिया है या नहीं) - l0c0b0x
डीएचसीपी-फाइंड जैसे प्रोग्राम का प्रयोग करें (softpedia.com/get/Network-Tools/Network-IP-Scanner/...) डीसीपीडी प्रतिक्रियाओं को ट्रिगर करने के लिए टीसीपीडम्प / वायर्सहार्क के संयोजन के साथ। - saluce
क्या आप एक और विशिष्ट समाधान प्रदान कर सकते हैं? - tarabyte
@tarabyte मुझे यकीन नहीं है कि मुझे कौन सा समाधान I या सुधार करना चाहिए। मुझे लगता है कि इस प्रश्न में दर्जनों अन्य अच्छे उत्तरों से बहुत अच्छा कवरेज है? इन दिनों मेरा गोटो विकल्प जेसन लूथर जैसे डीएचसीपी को ब्लॉक करने के लिए बस अपने स्विच को कॉन्फ़िगर करना है। क्या कुछ विशिष्ट था जिसे बेहतर तरीके से कवर करने की आवश्यकता थी? - Zoredache
मैं उन आदेशों के अनुक्रम की अधिक उम्मीद कर रहा था जो इसका उपयोग करते हैं tcpdump, arp, आदि उन पैरामीटर के स्पष्ट पैरामीटर और स्पष्टीकरण के साथ। - tarabyte


कुछ अन्य उत्तरों को दोबारा जोड़ने और जोड़ने के लिए:

अस्थायी रूप से अपने उत्पादन DHCP सर्वर को अक्षम करें और देखें कि अन्य सर्वर प्रतिसाद देते हैं या नहीं। 

आप चलकर सर्वर का आईपी पता प्राप्त कर सकते हैं ipconfig /all एक विंडोज मशीन पर, और फिर आप उस आईपी पते का उपयोग कर मैक पता प्राप्त कर सकते हैं arp -a

एक मैक पर, भागो ipconfig getpacket en0 (या एन 1)। देख http://www.macosxhints.com/article.php?story=20060124152826491

डीएचसीपी सर्वर की जानकारी आमतौर पर / var / log / संदेशों में होती है। sudo grep -i dhcp /var/log/messages*

आपके उत्पादन को अक्षम करना डीएचसीपी सर्वर निश्चित रूप से एक अच्छा विकल्प नहीं हो सकता है।

ऐसे टूल का उपयोग करें जो विशेष रूप से नकली डीएचसीपी सर्वरों की तलाश में है 

देख http://en.wikipedia.org/wiki/Rogue_DHCP औजारों की एक सूची के लिए (जिनमें से कई अन्य प्रतिक्रियाओं में सूचीबद्ध थे)।

DHCP ऑफ़र को ब्लॉक करने के लिए स्विच कॉन्फ़िगर करें

नकली डीएचसीपी सर्वरों को रोकने के लिए अधिकांश प्रबंधित स्विच कॉन्फ़िगर किए जा सकते हैं:


21
2018-05-15 09:18





dhcpdump, जो इनपुट फॉर्म लेता है tcpdump और केवल डीएचसीपी संबंधित पैकेट दिखाता है। मुझे हमारे LAN में नकली DHCP के रूप में प्रस्तुत, रूटकिटेड विंडोज खोजने में मदद मिली।


16
2018-05-15 14:16





Wireshark / DHCP एक्सप्लोरर / डीएचसीपी जांच दृष्टिकोण एक समय या आवधिक जांच के लिए अच्छे हैं। हालांकि, मैं देखने की सिफारिश करेंगे डीएचसीपी स्नूपिंग अपने नेटवर्क पर समर्थन। यह सुविधा नेटवर्क पर नकली डीएचसीपी सर्वर से लगातार सुरक्षा प्रदान करेगी, और कई अलग-अलग हार्डवेयर विक्रेताओं द्वारा समर्थित है।

जैसा कि इंगित किया गया है सुविधा सुविधा यहां दी गई है सिस्को दस्तावेज़

• अविश्वसनीय स्रोतों से प्राप्त डीएचसीपी संदेशों को मान्य करता है और अमान्य संदेशों को फ़िल्टर करता है।

• विश्वसनीय और अविश्वसनीय स्रोतों से डीएचसीपी यातायात को रेट-सीमाएं।

• DHCP स्नूपिंग बाध्यकारी डेटाबेस बनाता है और बनाए रखता है, जिसमें पट्टेदार आईपी पते वाले अविश्वसनीय होस्ट के बारे में जानकारी होती है।

• अविश्वसनीय होस्ट से बाद के अनुरोधों को सत्यापित करने के लिए DHCP स्नूपिंग बाइंडिंग डेटाबेस का उपयोग करता है।


15
2018-05-28 23:08



जूनिपर का डीएचसीपी स्नूपिंग दस्तावेज़: juniper.net/techpubs/en_US/junos9.2/topics/concept/...  ProCurve के डीएचसीपी स्नूपिंग: h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/... - sclarson


dhcploc.exe विंडोज सिस्टम पर सबसे तेज़ और सबसे तेज़ तरीका है। यह एक्सपी समर्थन उपकरण में उपलब्ध है। समर्थन उपकरण प्रत्येक OEM / खुदरा XP डिस्क पर हैं, लेकिन कुछ OEM द्वारा प्रदान की गई "रिकवरी डिस्क" पर हो सकते हैं या नहीं भी हो सकते हैं। आप भी कर सकते हैं डाउनलोड उन्हें एमएस से।

यह एक साधारण कमांडलाइन उपकरण है। तुम दौड़ो dhcploc {yourIPaddress} और उसके बाद नकली खोज करने के लिए 'डी' कुंजी दबाएं। यदि आप इसे किसी भी कुंजी दबाए बिना चलते हैं, तो यह प्रत्येक डीएचसीपी अनुरोध प्रदर्शित करेगा और इसका जवाब देगा। छोड़ने के लिए 'क्यू' दबाएं।


10
2018-05-15 10:31



हमने एक स्नीकी दुष्ट सर्वर को ट्रैक करने के लिए व्यक्तिगत स्विच बंदरगाहों को मारने के साथ संयोजन में इसका इस्तेमाल किया था, जिसके साथ हम काम कर रहे थे। अच्छी चीज़! - DHayes
आप अभी भी विंडोज 7 पर DHCPloc.exe का उपयोग कर सकते हैं: 1. [यहां] [1] से "विंडोज एक्सपी सर्विस पैक 2 सपोर्ट टूल्स" डाउनलोड करें। 2. निष्पादन योग्य पर राइट-क्लिक करें और गुण-> संगतता का चयन करें, फिर संगतता मोड चालू करें और इसे "Windows XP (सर्विस पैक 3)" पर सेट करें। 3. सामान्य के रूप में स्थापित करें। DHCPLoc.exe मेरी Win7 x64 स्थापना पर ठीक काम करता है। [1]: microsoft.com/en-us/download/details.aspx?id=18546 - parsley72
मैंने अभी देखा है कि आप केवल निम्न स्थान से निष्पादन योग्य डाउनलोड कर सकते हैं और यह Win 10 x64 के तहत ठीक काम करता है: gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82 - PeterJ


स्कापी एक अजगर आधारित पैकेट क्राफ्टिंग उपकरण है जो इन प्रकार के कार्यों के लिए अच्छा है। वास्तव में यह कैसे करना है इसका एक उदाहरण है यहाँ


9
2017-08-24 23:48



वाह, मुझे लगता है कि कई दिनों तक इसमें डूबने के बाद स्कैपी इतनी शक्तिशाली है। यह dhcpfind.exe और dhcploc.exe जैसे क्रैपी टूल्स को पार करता है। स्कैपी 2.2 लिनक्स और विंडोज पर चल सकता है - मैंने दोनों की कोशिश की। एकमात्र बाधा आपको पाइथन प्रोग्रामिंग भाषा को अपनी शक्ति का उपयोग करने के लिए काफी हद तक जानना है। - Jimm Chen
आपके द्वारा पोस्ट किया गया लिंक टूटा हुआ है - Jason S
@ जेसनएस हाय मैंने लिंक अपडेट किया है, लेकिन बदल रहा है सहकर्मी समीक्षा लंबित है ... प्रतीक्षा करते समय आप इसे यहां पा सकते हैं: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers - Huygens


विस्तार करने के लिए l0c0b0xउपयोग करने के बारे में टिप्पणी bootp.type == 2 एक फिल्टर के रूप में। Bootp.type फ़िल्टर केवल Wireshark / tshark में उपलब्ध है। यह टीसीपीडम्प में उपलब्ध नहीं है, जिसकी टिप्पणी के प्रासंगिक स्थान ने मुझे विश्वास करने के लिए प्रेरित किया था।

तशार्क इसके लिए पूरी तरह से काम करता है।

हमारे नेटवर्क को कई प्रसारण डोमेन में विभाजित किया गया है, जिनमें से प्रत्येक अपनी लिनक्स-आधारित जांच के साथ "स्थानीय" प्रसारण डोमेन पर मौजूद है और एक फैशन या दूसरे में एक प्रशासनिक सबनेट पर मौजूद है। तशार्क के साथ संयुक्त ClusterSSH मुझे नेटवर्क के आगे flung कोनों पर आसानी से डीएचसीपी यातायात या (उस मामले के लिए और कुछ भी) देखने के लिए अनुमति देता है।

यह लिनक्स का उपयोग कर डीएचसीपी जवाब मिलेगा:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

6
2018-02-14 10:57



बहुत मददगार, मैंने यह समझने की कोशिश में काफी समय बिताया कि मुझे क्यों मिल रहा था tcpdump: syntax error। यहां तक ​​कि एक सवाल भी पोस्ट किया, आपका जवाब मुझे अनवरोधित कर दिया, धन्यवाद! networkengineering.stackexchange.com/questions/39534/... - Elijah Lynn
इसके अलावा, मुझे लगता है कि कुछ बदल गया है -R <Read filter>। मुझे मिला tshark: -R without -2 is deprecated. For single-pass filtering use -Y.। -Y अच्छी तरह से काम करता है। - Elijah Lynn


एक बार जब आप स्थापित कर लें कि नेटवर्क पर एक दुष्ट डीएचसीपी सर्वर है तो मुझे यह हल करने का सबसे तेज़ तरीका मिला ...

पूरी कंपनी को एक ईमेल राउंड भेजें:

"आप में से किसने लैन में एक वायरलेस राउटर जोड़ा है, आपने हर किसी के लिए इंटरनेट मारा है"

एक भेड़िये प्रतिक्रिया की उम्मीद है, या विरोधाभासी डिवाइस गायब होने के लिए जल्दी, :)


6
2018-05-15 08:28





मुख्य DHCP सर्वर को अक्षम करें और (पुनः) कनेक्शन कॉन्फ़िगर करें।

यदि आपको आईपी पता मिलता है, तो आपको एक बदमाश हो गया है।

यदि आपके पास एक लिनक्स आसान है, तो मानक dhcpclient आपको DHCP सर्वर का आईपी पता बताता है (अन्यथा आप यह देखने के लिए यातायात को छीन सकते हैं कि DHCP प्रतिक्रिया कहां से आई थी)।


3
2018-05-15 12:05



हालांकि यह निश्चित रूप से काम करेगा, अगर आप वास्तव में चिंतित हैं तो उत्पादन डीएचसीपी सर्वर को रोकना शायद सबसे अच्छा तरीका नहीं है सेवा प्रदान करना... - Massimo
आप जिन लोगों की सेवा कर रहे हैं उनकी मात्रा पर निर्भर करता है। आप ज्यादातर मामलों में कुछ मिनट के लिए सेवा को बाधित कर सकते हैं और कोई भी नोटिस नहीं करेगा, खासकर उस दिन के मध्य में जब अधिकांश लोगों के पास पहले से ही पट्टा होता है। - Vinko Vrsalovic


कई तरीके हैं, यदि आपका एक छोटा नेटवर्क चल रहा है तो सबसे आसान तरीका है कि अपने dhcp सर्वर को बंद / अक्षम / अन-प्लग करें और फिर चलाएं ipconfig / नवीकरण या एक ग्राहक के समान और यदि आप प्राप्त करते हैं और आईपी आपके पास अपने नेटवर्क पर कुछ रूगू है।

एक और तरीका उपयोग करना होगा वायरशार्क अपने नेटवर्क यातायात को देखने और डीएचसीपी कनेक्शन खोजने के लिए पैकेट कैप्चरर / विश्लेषक, इस पर उपलब्ध एक प्रयोगशाला वर्कशीट है यहाँ

ऐसी कई सुविधाएं उपलब्ध हैं जो इसे करने का प्रस्ताव करती हैं डीएचसीपी एक्सप्लोरर दूसरा एक डीएचसीपी जांच है जिसे आपने अपनी मूल पोस्ट में उल्लेख किया था।


3
2018-03-13 08:02