Как я могу найти несанкционированные DHCP-серверы? [duplicate]
На этот вопрос уже есть ответ:
Я исследую странное поведение в подсети, где при регистрации хоста не указаны некоторые IP-адреса, которые, по сообщениям некоторых пользователей, имеют. Теперь, когда я убедился в этом, я хочу пассивно просканировать сервер DHCP, который не указан в моем домене. Как я могу это сделать?
Или, скорее, есть ли какие-нибудь инструменты Linux для перечисления серверов DCHP в домене? (Я мог бы написать сценарий для случайного поиска, поскольку подозреваю, что DHCP-сервер Rouge не всегда включен, или возможно, он не действует постоянно как DHCP-сервер.)
Одна вещь, которая кажется редко предлагаемой, - это проверить одного из клиентов, у которого неверный адрес, и посмотреть, откуда он пришел. Например, на клиенте Windows "ipconfig / all" немедленно сообщит вам, какой был адрес мошеннического сервера.
Для долгосрочного мониторинга плагин check_dhcp для Nagios можно настроить на предупреждение, если у вас слишком много ответов или неожиданный ответ.
Как сообщает TomTom, большинство корпоративных коммутаторов можно укрепить для защиты от различных вещей, включая мошеннические серверы DHCP.
Wireshark
Попробуйте запустить анализатор протокола, например Wireshark , при подключении к рассматриваемой подсети. Вам потребуется фильтровать сообщения bootp .
Если вы хотите сделать это по-настоящему пассивным способом, вам придется подождать, пока клиент в этой подсети не инициирует запрос DHCP, после чего вы увидите, что все DHCP-серверы, прослушивающие подсеть, отвечают клиенту. Если у вас нет терпения, инициируйте запрос DHCP самостоятельно с подключенного компьютера.