Забанить dhcp-серверы.

0

1

В сети недобросовестные люди (либо вирусня какая-то) наподнимали DHCP-серверов. Как оказалось их больше одного, т.к. один вычислил и прибил (у девушки вирус на венде оказался), а сейчас звонят, говорят, что опять появились люди, у которых выдается 192.168.*.*, причем из другого сегмента. Собственно стоит задача вычислить маки злодеев и выключить им порты. Соответственно, первого вычислил очень просто, обновил адрес, и tcpdump'ом посмотрел мак dhcp-сервера. Сейчас надо вычислить их все. Я понимаю, что это проще всего сделать, отправив DHCPDISCOVER, но тут мои знания заканчиваются.

Собственно вопрос: чем отправить DHCPDISCOVER, и чем потом посмотреть ответ?

Ссылка

←	Программа для администрирования почтовой очереди.

Как вывести IP-адрес

→

tcpdump || wireshark || dhclient verbose mode

~~adriano32~~ ★★★
(06.10.11 01:52:04 MSK)

Ссылка

чем-чем, из scapy например, или если не осилил питон то например из hping2.

но на самом деле проще запустить сниффер на своем интерфейсе в эту сеть и в этот момент перевоткнуть кабель или перезапустить dhcp клиента (на винде - ipconfig /release; ipconfig /renew).

val-amart ★★★★★
(06.10.11 01:59:28 MSK)

Ссылка

еще вариант - если нормальные свитчи то на них посниффать выборочно по типу трафика - искать DHCPOFFER, и блокировать такие порты. для цисок это можно даже в правило оформить.

val-amart ★★★★★
(06.10.11 02:01:38 MSK)

Ссылка

а) Настройте dhcp snooping на коммутаторах
б) Если коммутаторы тупые - пробуйте dhcpdrop

ventilator ★★★
(06.10.11 02:18:57 MSK)

Ссылка

Сам интересовался недавно здесь подавлением левых dhcp серверов :) Dhcpdrop в агрессивном режиме отличная вещь. НО есть опасность :) dhcpdrop генерит кучу DHCPDISCOVER c РАЗНЫМИ макоми источника и может переполнить максимально допустимое количество МАСов на коммутаторе. А так тушит левые dhcp сервера на ура.

zus
(06.10.11 14:16:50 MSK)