मुझे कैसे पता चलेगा कि मेरे नेटवर्क पर एक दुष्ट डीएचसीपी सर्वर है?


92

यदि मेरे नेटवर्क के अंदर एक दुष्ट डीएचसीपी सर्वर है, तो यह निर्धारित करने की दिशा में सबसे अच्छा तरीका क्या है?

मैं सोच रहा हूं कि अधिकांश व्यवस्थापक इस प्रकार की समस्याओं से कैसे निपटते हैं। मुझे खोज के माध्यम से डीएचसीपी जांच मिली , और इसे आज़माने के बारे में सोचा। किसी को भी इसके साथ अनुभव किया है? (मैं इसे संकलित करने और स्थापित करने के लिए समय लेने से पहले जानना चाहूंगा)।

क्या आप दुष्ट डीएचसीपी सर्वर खोजने की दिशा में कोई उपयोगी उपकरण या सर्वोत्तम प्रथाएं जानते हैं?


2
एमएस उपकरण और बहुत सरल उपयोग करने के लिए! दुष्ट डीएचसीपी सर्वर का पता लगाने - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/……
aa.malta

मैं कम से अपने लिंक aa.malta के लिए एक आधिकारिक संदर्भ पाया social.technet.microsoft.com/wiki/contents/articles/... लेकिन लिंक अब 2016 के रूप में यह 2009 से मुझे ब्लॉग पोस्ट से पता चलता काम करने के लिए प्रकट होता है, लेकिन मैं केवल 6 जुलाई और 29 जून के पोस्ट देखें। आपके द्वारा पोस्ट किए गए लिंक URL द्वारा इंगित किए गए 3 जुलाई के पोस्ट प्रतीत नहीं होंगे। ऐसा लगता है कि एमएस ने इसे किस कारण से हटाया।
डैनियल

इस प्रत्यक्ष लिंक की तरह दिखता है (जो मुझे एक वर्डप्रेस साइट पर मिला) Microsoft सर्वर से फ़ाइल डाउनलोड करने के लिए काम करता है। लिंक जनवरी 2016 तक काम कर रहा है। चूंकि URL Microsoft है, मुझे लगता है कि इस पर भरोसा किया जा सकता है, लेकिन मैं इसकी कोई गारंटी नहीं देता: blogs.technet.com/cfs-file.ashx/__key/…
डैनियल

जवाबों:


54

एक सरल तरीका यह है कि बस एक कंप्यूटर पर tcpdump / wirehark की तरह एक स्निफ़र चलाएं और एक DHCP अनुरोध भेजें। यदि आप अपने असली डीएचसीपी सर्वर से कोई अन्य ऑफ़र देखते हैं तो आपको पता है कि आपको कोई समस्या है।


28
निम्नलिखित फ़िल्टर का उपयोग करने में मदद करता है: "bootp.type == 2" (केवल DHCP ऑफ़र दिखाने के लिए, और यह देखने के लिए कि क्या विभिन्न / अज्ञात स्रोतों से प्रतिक्रिया है)
l0c0b0x

4
DHCP-प्रतिक्रियाओं को ट्रिगर करने के लिए TCPDump / Wireshark के साथ संयोजन में DHCP-Find ( softpedia.com/get/Network-Tools/Network-IP-Scanner/… ) जैसे प्रोग्राम का उपयोग करें ।
saluce

1
क्या आप अधिक विशिष्ट समाधान प्रदान कर सकते हैं?
23

@tarabyte मुझे यकीन नहीं है कि मुझे क्या समाधान या सुधारों की पेशकश करनी चाहिए। मुझे लगता है कि इस सवाल का दर्जनों अन्य अच्छे उत्तरों से बहुत अच्छा कवरेज है? इन दिनों मेरा गोटो विकल्प सिर्फ जेसन लूथर द्वारा सुझाए गए डीएचसीपी को ब्लॉक करने के लिए अपने स्विच को कॉन्फ़िगर करना है। क्या ऐसा कुछ विशिष्ट था जिसे बेहतर तरीके से कवर करने की आवश्यकता थी?
Zoredache

2
मैं आदेशों का उपयोग करने का एक अनुक्रम की अधिक उम्मीद कर रहा था tcpdump, arpस्पष्ट मापदंडों और उन मापदंडों के स्पष्टीकरण के साथ, आदि।
ताराबाई

22

कुछ अन्य उत्तरों को पुन: जोड़ने और जोड़ने के लिए:

अस्थायी रूप से अपने उत्पादन डीएचसीपी सर्वर को अक्षम करें और देखें कि क्या अन्य सर्वर प्रतिक्रिया करते हैं।

आप ipconfig /allएक विंडोज़ मशीन पर चलाकर सर्वर का आईपी पता प्राप्त कर सकते हैं , और फिर आप उस आईपी पते का उपयोग करके मैक एड्रेस प्राप्त कर सकते हैं arp -a

एक मैक पर, भागो ipconfig getpacket en0(या en1)। Http://www.macosxhints.com/article.php?story=20060124152826491 देखें ।

डीएचसीपी सर्वर की जानकारी आमतौर पर / var / log / संदेशों में होती है। sudo grep -i dhcp /var/log/messages*

अपने उत्पादन को अक्षम करना डीएचसीपी सर्वर का एक अच्छा विकल्प नहीं हो सकता है।

एक उपकरण का उपयोग करें जो विशेष रूप से दुष्ट डीएचसीपी सर्वर के लिए दिखता है

उपकरणों की सूची के लिए http://en.wikipedia.org/wiki/Rogue_DHCP देखें (जिनमें से कई अन्य प्रतिक्रियाओं में सूचीबद्ध थे)।

DHCP ऑफ़र ब्लॉक करने के लिए स्विच कॉन्फ़िगर करें

दुष्ट प्रबंधित DHCP सर्वर को रोकने के लिए अधिकांश प्रबंधित स्विच कॉन्फ़िगर किए जा सकते हैं:


17

dhcpdump , जो इनपुट फॉर्म tcpdump लेता है और केवल DHCP संबंधित पैकेट दिखाता है। हमारे लैन में नकली डीएचसीपी के रूप में प्रस्तुत करते हुए, मुझे रूट किए गए विंडोज को खोजने में मदद की।


15

Wireshark / DHCP एक्सप्लोरर / DHCP जांच दृष्टिकोण एक समय या आवधिक जांच के लिए अच्छे हैं। हालाँकि, मैं आपके नेटवर्क पर DHCP स्नूपिंग समर्थन देखने की सलाह दूंगा । यह सुविधा नेटवर्क पर दुष्ट डीएचसीपी सर्वर से लगातार सुरक्षा प्रदान करेगी, और कई अलग-अलग हार्डवेयर विक्रेताओं द्वारा समर्थित है।

यहाँ सिस्को डॉक्स में बताए अनुसार फीचर सेट किया गया है ।

• अविश्वसनीय स्रोतों से प्राप्त डीएचसीपी संदेशों को मान्य करता है और अमान्य संदेशों को फ़िल्टर करता है।

• विश्वसनीय और अविश्वसनीय स्रोतों से दर-सीमा डीएचसीपी यातायात।

• डीएचसीपी स्नूपिंग बाइंडिंग डेटाबेस का निर्माण और रखरखाव करता है, जिसमें पट्टे वाले आईपी पते के साथ अविश्वासी मेजबानों के बारे में जानकारी होती है।

• डीएचसीपी स्नूपिंग बाइंडिंग डेटाबेस का उपयोग अविश्वसनीय मेजबान से बाद के अनुरोधों को मान्य करने के लिए करता है।


2
जुनिपर का डीएचसीपी स्नूपिंग डॉक: juniper.net/techpubs/en_US/junos9.2/topics/concept/… ProCurve का डीएचसीपी स्नूपिंग: h40060.www4.hp -procurve
uk

10

dhcploc.exe विंडोज सिस्टम पर सबसे तेज और आसान तरीका है। यह एक्सपी सपोर्ट टूल्स में उपलब्ध है। समर्थन उपकरण प्रत्येक OEM / खुदरा XP डिस्क पर हैं, लेकिन कुछ OEM द्वारा प्रदान किए गए "रिकवरी डिस्क" पर हो सकते हैं या नहीं भी हो सकते हैं। आप इन्हें MS से भी डाउनलोड कर सकते हैं ।

यह एक सरल कमांडलाइन टूल है। आप dhcploc {yourIPaddress} चलाते हैं और फिर एक नकली खोज करने के लिए key d ’कुंजी दबाते हैं। यदि आप इसे बिना किसी कुंजी को दबाए भागते हुए छोड़ देते हैं, तो यह प्रत्येक डीएचसीपी अनुरोध को प्रदर्शित करेगा और इसका उत्तर देगा। छोड़ने के लिए 'q' दबाएँ।


बस इसका उपयोग व्यक्तिगत स्विच पोर्ट को मारने के साथ संयोजन में किया गया था, जिससे हम काम कर रहे थे। अच्छी चीज़!
DHayes

1
आप अभी भी विंडोज 7: 1 पर DHCPloc.exe का उपयोग कर सकते हैं। [यहां] [1] से "विंडोज एक्सपी सर्विस पैक 2 सपोर्ट टूल" डाउनलोड करें। 2. निष्पादन योग्य पर राइट-क्लिक करें और गुण चुनें-> संगतता फिर संगतता मोड चालू करें और इसे "विंडोज एक्सपी (सर्विस पैक 3)" पर सेट करें। 3. सामान्य रूप से स्थापित करें। DHCPLoc.exe मेरे Win7 x64 इंस्टॉलेशन पर ठीक काम करता है। [१]: microsoft.com/en-us/download/details.aspx?id=18546
parsley72

1
मैंने अभी देखा कि आप निम्नलिखित स्थान से केवल निष्पादन योग्य डाउनलोड कर सकते हैं और यह विन 10 x64 के तहत ठीक काम करता है: Gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82
PeterJ

9

स्केपी एक अजगर आधारित पैकेट क्राफ्टिंग उपकरण है जो इन प्रकार के कार्यों के लिए अच्छा है। यहाँ यह कैसे करना है, इसका एक उदाहरण है


2
वाह, मुझे लगता है कि कई दिनों के लिए इसे हटाने के बाद स्केपी इतना शक्तिशाली है। यह dhcpfind.exe और dhcploc.exe जैसे भद्दे टूल से आगे निकल जाता है। लिनक्स और विंडोज पर स्काइप 2.2 चल सकता है - मैंने दोनों की कोशिश की। एकमात्र बाधा यह है कि आप पायथन प्रोग्रामिंग भाषा को जानने के लिए काफी हद तक अपनी शक्ति का उपयोग कर सकते हैं।
जिम चेन

आपके द्वारा पोस्ट किया गया लिंक टूट गया है
जेसन एस

@JasonS हाय मैंने लिंक को अपडेट कर दिया है, लेकिन परिवर्तन लंबित सहकर्मी समीक्षा है ... प्रतीक्षा करते समय आप इसे यहां पा सकते हैं: bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPSers
Huygens

7

फ़िल्टर के रूप में उपयोग करने के बारे में l0c0b0x की टिप्पणी पर विस्तार करने के लिए bootp.type == 2। Bootp.type फ़िल्टर केवल Wireshark / tshark में उपलब्ध है। यह tcpdump में उपलब्ध नहीं है जिस पर उनकी टिप्पणी के संदर्भ स्थान ने मुझे विश्वास करने के लिए प्रेरित किया।

Tshark इसके लिए पूरी तरह से काम करता है।

हमारे पास अपने नेटवर्क को कई प्रसारण डोमेन में विभाजित किया गया है, प्रत्येक अपने स्वयं के लिनक्स-आधारित जांच के साथ "स्थानीय" प्रसारण डोमेन और एक फैशन या किसी अन्य में प्रशासनिक सबनेट पर मौजूद है। Tshark के साथ संयुक्त ClusterSSH मुझे आसानी से डीएचसीपी यातायात या नेटवर्क के आगे दराज़ के कोनों पर (उस बात के लिए कुछ और) देखने के लिए अनुमति देता है।

यह लिनक्स का उपयोग करते हुए डीएचसीपी जवाब मिलेगा:

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

बहुत मददगार, मैंने यह जानने का प्रयास करने में काफी समय बिताया कि मुझे क्यों मिल रहा है tcpdump: syntax error। यहां तक ​​कि इस पर एक प्रश्न पोस्ट किया, आपके उत्तर ने मुझे अनब्लॉक किया, धन्यवाद! networkengineering.stackexchange.com/questions/39534/…
एलिजा लिन

1
इसके अलावा, मुझे लगता है कि कुछ के साथ बदल गया है -R <Read filter>। मुझे मिलता है tshark: -R without -2 is deprecated. For single-pass filtering use -Y.-Yअच्छी तरह से काम करता है।
एलिजा लिन

6

एक बार जब आप स्थापित कर लेते हैं कि नेटवर्क पर एक दुष्ट डीजीसीपी सर्वर है, तो मुझे इसे हल करने का सबसे तेज तरीका मिला ...

यह कहते हुए पूरी कंपनी को ईमेल राउंड भेजें:

"आप में से किसने LAN में एक वायरलेस राउटर जोड़ा है, आपने बाकी सभी के लिए इंटरनेट को मार दिया है"

एक भेड़ की प्रतिक्रिया की उम्मीद है, या जल्दी से गायब होने के लिए परस्पर विरोधी डिवाइस :)


3

मुख्य डीएचसीपी सर्वर को अक्षम करें और (पुनः) एक कनेक्शन को कॉन्फ़िगर करें।

यदि आपको एक IP पता मिलता है, तो आपको एक दुष्ट मिल गया है।

यदि आपके पास लिनक्स काम है, तो मानक dhcpclient आपको डीएचसीपी सर्वर का आईपी पता बताता है (अन्यथा आप यह देखने के लिए ट्रैफ़िक को सूँघ सकते हैं कि डीएचसीपी की प्रतिक्रिया कहाँ से आई है)।


2
हालांकि यह निश्चित रूप से काम करेगा, उत्पादन को रोकना डीएचसीपी सर्वर शायद सबसे अच्छा तरीका नहीं है यदि आप वास्तव में सेवा प्रदान करने के बारे में चिंतित हैं ...
मैसिमो

2
आपकी सेवा कर रहे लोगों की मात्रा पर निर्भर करता है। आप ज्यादातर मामलों में कुछ मिनटों के लिए सेवा को बाधित कर सकते हैं और कोई भी नोटिस नहीं करेगा, विशेषकर उस दिन के मध्य में जब अधिकांश लोगों के पास पहले से ही अपना पट्टा है।
विंको वर्सालोविच

3

कई तरीके हैं, अगर आपका एक छोटा नेटवर्क चलाने का सबसे सरल तरीका है अपने dhcp सर्वर को बंद / अक्षम / अन-प्लग करना और फिर एक क्लाइंट पर ipconfig / नवीनीकरण या समान चलाना और यदि आप प्राप्त करते हैं और IP आपके लिए कुछ rougue है नेटवर्क।

एक अन्य तरीका यह होगा कि अपने नेटवर्क ट्रैफ़िक को देखने के लिए और डीएचसीपी कनेक्शन खोजने के लिए विंडसर पैकेट कैप्टन / एनालाइज़र का उपयोग करें , यहाँ से इस उपलब्ध को कैसे किया जाए, इस पर एक लैब वर्कशीट है

वहाँ भी उपलब्ध उपयोगों की एक संख्या है जो यह करने के लिए अनुपात डीएचसीपी एक्सप्लोरर एक और डीएचसीपी जांच है जिसे आपने अपने मूल पोस्ट में उल्लेख किया है।


3

2

आप अपने नेटवर्क का पिंग स्वीप कर सकते हैं और फिर तुलना करें कि आपके डीएचसीपी सर्वर द्वारा दिए गए डीएचसीपी पट्टों की संख्या कितनी है।

आपको स्थिर डिवाइसों की संख्या (राउटर इंटरफेस और प्रिंटर शायद) का एक सामान्य विचार होना चाहिए जो इस संख्या को थोड़ा कम कर देगा, लेकिन यह कई नेटवर्क में उन्हें पहचानने का एक त्वरित और सटीक तरीका होना चाहिए।


0

डेबियन / ubuntu पर भी उपयोग करने के लिए dhcpdumpऔर / या tcpdumpउदाहरण के लिए की मदद से विकल्प हैंdhclient

Dhcpdump का उपयोग करें:

  • 1.a) dhcpdump -i eth0एक शेल / शेल (eth0 या आपके इंटरफ़ेस का नाम ) में चलता है
  • 1. बी) dhclientदूसरे शेल में शुरू होता है (इसे सफलतापूर्वक चलाने की जरूरत नहीं है)
  • 1. सी) dhcpdumpसूचना के उत्पादन में देखो (यह एक अच्छा स्वरूपित होना चाहिए, सबसे विवरण की जानकारीपूर्ण सूची)

विकल्प 2 अगर आपको dhcpdump का उपयोग करना पसंद नहीं है:

  • 2.a) tcpdump -i eth0 -t -n > /tmp/my_file.txtएक शेल / विंडो में चलता है
    (वैकल्पिक: -t= अक्षम टाइमस्टैम्प // -n= अक्षम नाम-रिज़ॉल्यूशन, सिर्फ आईपी-पता, कोई सर्वरनाम (आरएचईएल / सेंटो उपयोग-एनएन के लिए))
  • 2. बी) dhclientदूसरे शेल में शुरू होता है (इसे सफलतापूर्वक नहीं चलाना पड़ता)
  • 2. c) रनिंग tcpdump को रोकें ()
  • 2.d) अपने पसंदीदा संपादक के साथ /tmp/my_file.txt फ़ाइल की जांच करें और चीजों की खोज करें जैसे: ".53" (डिफ़ॉल्ट DNS पोर्ट) / "NX" / "CNAME" / "A?" / "एएएए" -

* sidenote: tcpdump और dhcpdump को संभवतः स्थापित करना होगा (जैसे:) sudo apt get install tcpdump dhcpdump; dhcpdump tcpdump पर निर्भर करता है


0

मैं सुझाव देता हूं कि दो टर्मिनल शुरू करें, एक निगरानी के लिए और दूसरा अनुरोध भेजने के लिए। टर्मिनल 1 मैक पते सहित सभी मौजूदा डीएचसीपी सर्वरों से प्रतिक्रियाएं दिखाएगा। यह उदाहरण उबंटू पर चलाया गया था:

टर्मिनल 1 (निगरानी के लिए):

सुडो tcpdump -nelt udp पोर्ट 68 | grep -i "बूट। * उत्तर"

tcpdump: वर्बोज़ आउटपुट को दबाया गया, पूर्ण-प्रोटोकॉल के लिए -v या -vv का उपयोग enp2s0, लिंक-टाइप EN10MB (इथरनेट) पर सुनने के लिए, कैप्चर साइज़ 262144 बाइट्स 20: a6: 80: f9: 12: 2f> ff: ff: ff: ff: ff: ff: ethertype IPv4 (0x0800), लंबाई 332: 192.168.1.1.67> 255.255.255.255.68: BOOTP / DHCP, उत्तर दें, लंबाई 00: 23: cd: 83: 83a: 8a> ff: ff: ff : ff: ff: ff: ff: ethertype IPv4 (0x0800), लंबाई 590: 192.168.1.253.67> 255.255.255.255.68: BOOTP / DHCP, उत्तर, लंबाई 548

टर्मिनल 2 (अनुरोध भेजने के लिए):

सुडो नम्प - स्क्रिप्ट प्रसारण-dhcp-डिस्कवर-ई एथ ०

2019-10-13 पर नैंप 7.01 ( https://nmap.org ) शुरू 21:21 EEST प्री-स्कैन स्क्रिप्ट परिणाम: | प्रसारण-धिक-खोज: | प्रतिक्रिया 1 का 1: | IP की पेशकश की: 192.168.1.228 | DHCP संदेश प्रकार: DHCPOFFER | आईपी ​​एड्रेस लीज टाइम: 2h00m00s | सर्वर पहचानकर्ता: 192.168.1.1 | सबनेट मास्क: 255.255.255.0 | राउटर: 192.168.1.1 | _ डोमेन नाम सर्वर: 8.8.8.8, 8.8.4.4 चेतावनी: कोई लक्ष्य निर्दिष्ट नहीं किया गया था, इसलिए 0 होस्ट स्कैन किए गए। नंप किया गया: 0 IP पते (0 होस्ट अप) 0.94 सेकंड में स्कैन किए गए

सभी प्रतिक्रियाओं को देखने के लिए मॉनिटरिंग टर्मिनल की आवश्यकता होती है (nmap केवल पहली प्रतिक्रिया दिखाने में सक्षम है)।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.