[server] 네트워크에 불량 DHCP 서버가 있는지 어떻게 알 수 있습니까?

Server / 글쓴이

네트워크 내에 불량 DHCP 서버가 있는지 확인하는 가장 좋은 방법은 무엇입니까?

대부분의 관리자가 이러한 종류의 문제에 어떻게 접근하는지 궁금합니다. 검색을 통해 DHCP 프로브 를 발견 하고 시도해 보았습니다. 누구든지 경험이 있습니까? (컴파일하고 설치하는 데 시간을 내기 전에 알고 싶습니다).

불량 DHCP 서버를 찾는 데 유용한 도구 나 모범 사례를 알고 있습니까?

답변

간단한 방법 중 하나는 컴퓨터에서 tcpdump / wireshark와 같은 스니퍼를 실행하고 DHCP 요청을 보내는 것입니다. 실제 DHCP 서버 이외의 다른 제안이 있으면 문제가있는 것입니다.

답변

다른 답변 중 일부를 요약하고 추가하려면 다음을 수행하십시오.

프로덕션 DHCP 서버를 일시적으로 비활성화하고 다른 서버가 응답하는지 확인하십시오.

ipconfig /allWindows 시스템에서 실행하여 서버의 IP 주소를 얻을 수 있으며를 사용하여 해당 IP 주소를 찾아 MAC 주소를 얻을 수 있습니다 arp -a.

Mac에서는 ipconfig getpacket en0(또는 en1)을 실행하십시오 . http://www.macosxhints.com/article.php?story=20060124152826491을 참조 하십시오 .

DHCP 서버 정보는 일반적으로 / var / log / messages에 있습니다. sudo grep -i dhcp /var/log/messages*

프로덕션 DHCP 서버를 비활성화하는 것은 물론 좋은 옵션이 아닐 수 있습니다.

불량 DHCP 서버를 찾는 도구를 사용하십시오.

도구 목록 (다수의 다른 답변에 나열된 도구) 은 http://en.wikipedia.org/wiki/Rogue_DHCP 를 참조하십시오 .

DHCP 오퍼를 차단하도록 스위치 구성

불량 DHCP 서버를 방지하도록 대부분의 관리되는 스위치를 구성 할 수 있습니다.

답변

dhcpdump- 입력 형식 tcpdump를 사용 하고 DHCP 관련 패킷 만 표시합니다. LAN에서 가짜 DHCP로 위장하여 루트킷 Windows를 찾는 데 도움이되었습니다.

답변

Wireshark / DHCP 탐색기 / DHCP 프로브 접근 방식은 한 번 또는 주기적으로 확인하는 것이 좋습니다. 그러나 네트워크에서 DHCP 스누핑 지원을 조사하는 것이 좋습니다 . 이 기능은 네트워크의 불량 DHCP 서버로부터 지속적인 보호를 제공하며 여러 하드웨어 공급 업체에서 지원합니다.

Cisco 문서에 표시된 기능 세트는 다음과 같습니다 .

• 신뢰할 수없는 출처에서받은 DHCP 메시지의 유효성을 검사하고 잘못된 메시지를 필터링합니다.

• 신뢰할 수있는 소스와 신뢰할 수없는 소스의 DHCP 트래픽을 속도 제한합니다.

• 임대 IP 주소를 가진 신뢰할 수없는 호스트에 대한 정보가 포함 된 DHCP 스누핑 바인딩 데이터베이스를 작성하고 유지 관리합니다.

• DHCP 스누핑 바인딩 데이터베이스를 사용하여 신뢰할 수없는 호스트의 후속 요청을 확인합니다.

답변

dhcploc.exe 는 Windows 시스템에서 가장 빠르고 편리한 방법입니다. XP 지원 도구에서 사용할 수 있습니다. 지원 도구는 모든 OEM / 소매 XP 디스크에 있지만 일부 OEM이 제공하는 “복구 디스크”에있을 수도 있고 없을 수도 있습니다. MS에서 다운로드 할 수도 있습니다 .

간단한 명령 줄 도구입니다. dhcploc {yourIPaddress}를 실행 한 다음 ‘d’키를 눌러 가짜 발견을 수행하십시오. 키를 누르지 않고 실행 상태로두면 모든 DHCP 요청이 표시되고 응답합니다. ‘q’를 눌러 종료하십시오.

답변

Scapy는 이러한 정렬 작업에 유용한 Python 기반 패킷 제작 도구입니다. 여기에 정확히이 작업을 수행하는 방법에 대한 예가 있습니다 .

답변

필터로 사용 하는 것에 대한 l0c0b0x 의 의견 을 확장합니다 bootp.type == 2. bootp.type 필터는 Wireshark / tshark에서만 사용할 수 있습니다. tcpdump에서는 그의 의견의 맥락 적 위치가 저를 믿도록 기울여 놓았습니다.

Tshark는이를 위해 완벽하게 작동합니다.

우리는 네트워크를 수많은 브로드 캐스트 도메인으로 나누었습니다. 각각은 “로컬”브로드 캐스트 도메인과 관리 서브넷에서 어떤 방식 으로든 존재하는 자체 Linux 기반 프로브를 가지고 있습니다. ClusterSSH 와 결합 된 Tshark를 사용하면 네트워크의 추가 구석에서 DHCP 트래픽이나 그 밖의 문제를 쉽게 찾을 수 있습니다.

Linux를 사용하여 DHCP 응답을 찾을 수 있습니다.

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'