LINUX.ORG.RU

dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

 


0

0

Сталкивались ли вы когда-нибудь с появлением «левого» DHCP-сервера в сети, большая часть компов которой получает адреса через DHCP? Это может быть сеть вашего провайдера, или администрируемая вами корпоративная сетка... В итоге - падение сети на всех клиентских машинах.

Конечно, есть такие прекрасные вещи, как DHCP snooping на свичах и ebtables на клиентских машинах. Но snooping поддерживают далеко не все свичи, да и сами свичи могут находиться вне подконтрольной вам зоны. А ebtables у каждого клиента настраивать - то еще веселенькое занятие (особенно в отсутствие сети).

Предлагаемая вашему вниманию программа dhcdrop обеспечивает поиск сторонних DHCP-серверов и их подавление путем исчерпания пула IP-адресов (DHCP starvation). Например,

sudo dhcdrop -i eth1 -y -l 00:11:22:33:44:55

проводит «зачистку» с интерфейса eth1, не трогая «легальный» сервер с маком 00:11:22:33:44:55 и снося все живое без лишних вопросов (-y).

Также эта программа может применяться для стресс-тестирования DHCP-серверов.

>>> Подробности

★★★★

Проверено: Shaman007 ()

в локалке пошалить - полезно, а для дела врядли пригодится... you bad %(

ei-grad ★★★★★
()

задача - очень полезная. метод - зверский. а есть ли более гуманное решение?

MyLan
()

ну, кмк при нормально настроенной сети такое исключено, хотя для своей задачи программа подходит идеально...

З.ы. она хоть маки удушаемых серверов пишет? :D

Slackware_user ★★★★★
()

Забавненько.

А вот если на dhcp—сервере привязка по МАК-адресам (а так чаще всего и бывает) — как «нейтрализовать» такой сервер?

anarquista ★★★★★
()
Ответ на: комментарий от anarquista

>А вот если на dhcp—сервере привязка по МАК-адресам (а так чаще всего и бывает) — как «нейтрализовать» такой сервер?

Тоже интересует такой вопрос.

andreykyz ★★
()
Ответ на: комментарий от andreykyz

Если ты в курсе, о чем речь, что бывает аренда адреса, а бывает резервация адреса. Аренда - сервер смотрит мак клиента и выдает _временный_ адрес, резервация - сервер смотрит мак клиента, сверяется с таблицей резервации и выдает _постоянный_ адрес, один и тот же всегда, хоть сейчас хоть через год.

Программка генерит маки и заваливает временную аренду - задача в том, чтобы не допустить выдачи адресов нелегитимным сервером. Вопрос в другом - есть ли средство для отслеживания такого сервера - в теи нужно понять, кто это, а не просто завалить и все.

Cargo
()

иногда в сети пользователи включают на своих девайсах dhcp сервер, сами незная что это такое. вот в таких случаях dhcdrop может пригодиться

redixin ★★★★
()

Тоесть УРА? Теперь можно досить сервер прова? Класс, вот это прога, ну берегитесь провы...;)

ZANSWER
()
Ответ на: комментарий от ZANSWER

>Тоесть УРА? Теперь можно досить сервер прова? Класс, вот это прога, ну берегитесь провы...;)

поломал Вася-хакер своего провайдера и сидит теперь как дурак без интернета...

TyhDyh
()
Ответ на: комментарий от redixin

>иногда в сети пользователи включают на своих девайсах dhcp сервер, сами незная что это такое. вот в таких случаях dhcdrop может пригодиться

хреновая та сеть, где пользователи могут сами включать то, что им вздумается...

Elias137
()
Ответ на: комментарий от Elias137

> хреновая та сеть, где пользователи могут сами включать то, что им вздумается...

Надеюсь, что сеть, где "студент воткнул ноут -- и нифига" -- останется лишь мечтой наших безопасников.

sv75 ★★★★★
()
Ответ на: комментарий от anarquista

В большинстве случаев "левый" сервер появляется как раз из-за ошибок настройки - либо ламер Вася воткнул прововский кабель в LAN-гнездо своего роутера, либо криворукий коллега из соседнего сегмента сети забыл ограничить свой сервак маками своего сегмента.

А если "чужой" привязывается к вашим же макам - это намеренное вредительство. Тут разговор короткий: берете монтировку и применяете ее безо всякого стеснения.

nnz ★★★★
() автор топика
Ответ на: комментарий от nnz

> В большинстве случаев "левый" сервер появляется как раз из-за ошибок настройки - либо ламер Вася воткнул прововский кабель в LAN-гнездо своего роутера

Плюсую! Как правило в таких случаях на роутере остаётся дефолтный пароль и я захожу на веб-морду, выключаю DHCP-сервер и меняю пароль =).

Кстати говоря, в dhcpcd есть опция -X (--blacklist), которая позволяет блокировать неправильные адреса, выдаваемые DHCP-серварами. -X 192.168.0.0/16 решает 99% проблем с криворукими васипупкиными (конечно что при условии, что "правильный" DHCP-сервер выдаёт адреса из другого диапазона).

Deleted
()
Ответ на: комментарий от Cargo

>задача в том, чтобы не допустить выдачи адресов нелегитимным сервером.

В тексте новости рассмотрены различные методы решения этой задачи.

>Вопрос в другом - есть ли средство для отслеживания такого сервера - в теи нужно понять, кто это, а не просто завалить и все.


traceroute для канального уровня пока не придумали :)

У моего коллеги однажды на работе появился "левый" сервак. А там вся сеть была на свичах, причем на тупых свичах. Больше полусотни компов на разных этажах - и явно вмваревский мак :)
В тот раз он просто собрал всех юзеров и показал им монтировку. Этого хватило.

nnz ★★★★
() автор топика
Ответ на: комментарий от Deleted

>Кстати говоря, в dhcpcd есть опция -X (--blacklist)

Хм. Может и правда с dhclient переползти... Только вот что с виндовыми клиентами делать?

В силу специфики моего домашнего интернета (коаксиал со спец. модемом) и моего места работы (в числе прочего, обслуживаю несколько сегментов корпоративной локалки) вариант с криворуким коллегой, который поднял DHCP-сервер и не стал его ни в чем ограничивать, для меня гораздо более актуален, нежели вариант с LAN-портом.

nnz ★★★★
() автор топика

Вообще-то все это можно реализовать используя обычный генератор пакетов и простенький скрипт. С трудом представляю себе, что кто-то всерьез будет бороться с левыми dhcp в своей сети таким дурным способом. Более разумные варианты - превентивные меры. Например, засунуть каждого клиента в свой vlan, или, например, левый трафик резать с помощью ACL на доступе. Естественно, нужно управляемое оборудование, но строить нормальные сети можно только на управляемом оборудовании. Тут даже если никаких мер по борьбе с левым трафиком не предусмотрено, его всегда будет легче отследить и отрезать от остальной сети в случае возникновения. Опять же левые дхцп-сервера - не единственная проблема. Есть еще петли, флуд разных сортов, вирусы, arp-атаки и т.д. И потом, что значит "для стресс-тестирования DHCP-серверов". Ну исчерпали мы все адреса, дальше что? Что оттестировали-то:) Вообщем, легального применения не вижу!!!

seeman
()
Ответ на: комментарий от nnz

> Хм. Может и правда с dhclient переползти..

А dhclient разве не понимает опцию reject в конфиге? Или я его с кем-то путаю?

sjinks ★★★
()
Ответ на: комментарий от TyhDyh

>поломал Вася-хакер своего провайдера и сидит теперь как дурак без интернета...

Не так все мрачно, Вася теперь использует всю ширину интернет-канала.

Lautre ★★★★★
()

я не понял, теперь я могу дропнуть всех клиентов своего провайдера?

Ingwar ★★★★★
()

> проводит "зачистку" с интерфейса eth1

хи-хи

sersto
()
Ответ на: комментарий от sv75

> Надеюсь, что сеть, где "студент воткнул ноут -- и нифига" -- останется лишь мечтой наших безопасников.

Ну почему же только их? dhcp с привязкой к mac и статическая arp таблица... Вуаля.

Lumi ★★★★★
()
Ответ на: комментарий от agabekov

> Ну или dot1x+RADIUS.

802.1x не выделяет адресов, а только разрешает пропускать трафик. Адреса так или иначе придется назначать, и от левого dhcp dot1x не спасает.

Идеальный вариант — управляемый коммутатор с acl, dhcpdnoop и ограничением одного MAC на порт.

baka-kun ★★★★★
()
Ответ на: комментарий от agabekov

> Ну или dot1x+RADIUS.

Это всё верно и в приличном офисе должно быть, но в вузе пусть лучше останется вариант 1.

sv75 ★★★★★
()
Ответ на: комментарий от baka-kun

> управляемый коммутатор
при наличии управляемых планетов за 6тыров (8 100/2 GE), в которых можно накрутить почти любые правила (по сравнению с cat 2950), как-то -пропуск только 1 адреса с этого порта и только запросы а не ответы - проблему можно считать закрытой

mumpster ★★★★★
()
Ответ на: комментарий от baka-kun

>и от левого dhcp dot1x не спасает.

ну как же не спасёт? никакой девайс ведь (в т.ч. с dhcp службой) не сможет быть подключен без вашего ведома и соответствующего сертификата

af5 ★★★★★
()
Ответ на: комментарий от mumpster

Зачем вы вспоминаете древнюю рухлядь 2950? Ведь есть же давно 2960, на котором тоже можно накрутить что угодно. Ж;-) Но да - цена у него совсем другая. Ж;-)

Cyril ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.