Comment puis-je savoir s'il y a un serveur DHCP malveillant sur mon réseau ?

Je suggère de démarrer deux terminaux, un pour la surveillance et un autre pour l'envoi d'une requête. Le terminal 1 affichera les réponses de tous les serveurs DHCP existants, y compris l'adresse MAC. Cet exemple a été exécuté sur Ubuntu :

Terminal1 (pour la surveillance) :

sudo tcpdump -nelt udp port 68 | grep -i "boot.*reply"

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:a6:80:f9:12:2f > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 332: 192.168.1.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 290
00:23:cd:c3:83:8a > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 590: 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 548

Terminal2 (pour envoyer une demande) :

sudo nmap --script broadcast-dhcp-discover -e eth0

Starting Nmap 7.01 ( https://nmap.org ) at 2019-10-13 21:21 EEST
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.228
|     DHCP Message Type: DHCPOFFER
|     IP Address Lease Time: 2h00m00s
|     Server Identifier: 192.168.1.1
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|_    Domain Name Server: 8.8.8.8, 8.8.4.4
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 0.94 seconds

Ce terminal de surveillance est nécessaire juste pour voir toutes les réponses (nmap est capable de montrer seulement la première réponse).

Pour récapituler et ajouter à certaines des autres réponses :

Désactivez temporairement votre serveur DHCP de production et voyez si d'autres serveurs répondent.

Vous pouvez obtenir l'adresse IP du serveur en exécutant ipconfig /all sur une machine Windows, et vous pouvez alors obtenir l'adresse MAC en recherchant cette adresse IP à l'aide de la fonction arp -a .

Sur un Mac, exécutez ipconfig getpacket en0 (ou en1). Voir http://www.macosxhints.com/article.php?story=20060124152826491 .

Les informations du serveur DHCP se trouvent généralement dans /var/log/messages. sudo grep -i dhcp /var/log/messages*

La désactivation de votre serveur DHCP de production n'est pas forcément une bonne solution, bien sûr.

Utilisez un outil qui recherche spécifiquement les serveurs DHCP malveillants.

Voir http://en.wikipedia.org/wiki/Rogue_DHCP pour une liste d'outils (dont beaucoup ont été énumérés dans d'autres réponses).

Configurer les commutateurs pour bloquer les offres DHCP

La plupart des commutateurs gérés peuvent être configurés pour empêcher les serveurs DHCP malveillants :

• http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.html

• http://www.juniper.net/techpubs/en_US/junos9.2/topics/concept/port-security-dhcp-snooping.html

dhcpdump qui prend la forme d'une entrée tcpdump et ne montre que les paquets liés au DHCP. Il m'a aidé à trouver des Windows rootkits, se faisant passer pour de faux DHCP dans notre LAN.

Les approches Wireshark / DHCP explorer / DHCP Probe sont bonnes pour une vérification ponctuelle ou périodique. Cependant, je vous recommande d'examiner DHCP Snooping sur votre réseau. Cette fonction offre une protection constante contre les serveurs DHCP malveillants sur le réseau et est prise en charge par de nombreux fournisseurs de matériel.

Voici l'ensemble des fonctionnalités, telles qu'elles sont indiquées dans le document Documents de Cisco .

- Valide les messages DHCP reçus de sources non fiables et filtre les messages non valides.

- Limite le débit du trafic DHCP provenant de sources fiables et non fiables.

- Construit et maintient la base de données de liaison DHCP snooping, qui contient des informations sur les hôtes non fiables avec des adresses IP louées.

- Utilise la base de données de liaison DHCP snooping pour valider les demandes ultérieures provenant d'hôtes non fiables.