Quelle est la meilleure approche pour déterminer si j'ai un serveur DHCP malveillant dans mon réseau ?
Je me demande comment la plupart des administrateurs abordent ce genre de problèmes. J'ai trouvé Sonde DHCP en cherchant, et j'ai pensé à l'essayer. Quelqu'un a-t-il une expérience dans ce domaine ? (J'aimerais le savoir avant de prendre le temps de le compiler et de l'installer).
Connaissez-vous des outils utiles ou des bonnes pratiques pour trouver les serveurs DHCP malveillants ?
dhcploc.exe est le moyen le plus rapide et le plus pratique sur les systèmes Windows. Elle est disponible dans les outils d'assistance XP. Les outils d'assistance se trouvent sur chaque disque OEM/de vente au détail de XP, mais peuvent ou non se trouver sur les "disques de récupération" fournis par certains OEM. Vous pouvez également télécharger de l'EM.
Il s'agit d'un simple outil en ligne de commande. Vous exécutez dhcploc {votre adresse IP} puis appuyez sur la touche 'd' pour faire une fausse découverte. Si vous le laissez tourner sans appuyer sur aucune touche, il affichera toutes les demandes DHCP et les réponses qu'il entend. Appuyez sur 'q' pour quitter.
Je viens de l'utiliser en combinaison avec la destruction de ports de commutateurs individuels pour traquer un serveur malveillant auquel nous avions affaire. Bien joué !
Vous pouvez toujours utiliser DHCPloc.exe sous Windows 7 : 1. téléchargez "Windows XP Service Pack 2 Support Tools" depuis [ici][1]. 2. Cliquez avec le bouton droit de la souris sur l'exécutable et sélectionnez Propriétés->Compatibilité puis activez le mode de compatibilité et définissez-le sur "Windows XP (Service Pack 3)". 3. Installez comme d'habitude. DHCPLoc.exe fonctionne bien sur mon installation Win7 x64. [1] : microsoft.com/fr/download/details.aspx?id=18546
Je viens de remarquer que vous pouvez télécharger juste l'exécutable à partir de l'emplacement suivant et il fonctionne bien sous Win 10 x64 : gallery.technet.microsoft.com/DHCPLOC-Utility-34262d82
Scapy est un outil de création de paquets basé sur Python qui est bon pour ce genre de tâches. Il y a un exemple de comment faire exactement ceci ici .
Wow, je trouve que Scapy est si puissant après y avoir plongé pendant plusieurs jours. Il surpasse les outils merdiques comme dhcpfind.exe et dhcploc.exe. Scapy 2.2 peut fonctionner sous Linux et Windows -- j'ai essayé les deux. Le seul obstacle est que vous DEVEZ connaître le langage de programmation Python dans une certaine mesure pour exploiter sa puissance.
@JasonS Bonjour, j'ai mis à jour le lien, mais le changement est en attente d'un examen par les pairs... En attendant, vous pouvez le trouver ici : bitbucket.org/secdev/scapy/wiki/doc/IdentifyingRogueDHCPServers
Pour développer l0c0b0x Le commentaire de l'auteur concernant l'utilisation bootp.type == 2 comme un filtre. Le filtre bootp.type est uniquement disponible dans Wireshark/tshark. Il n'est pas disponible dans tcpdump, ce que l'emplacement contextuel de son commentaire m'inclinait à croire.
Tshark fonctionne parfaitement pour cela.
Notre réseau est divisé en plusieurs domaines de diffusion, chacun ayant sa propre sonde basée sur Linux avec un point de présence sur le domaine de diffusion "local" et sur un sous-réseau administratif d'une manière ou d'une autre. Tshark combiné à ClusterSSH me permet de rechercher facilement le trafic DHCP ou (n'importe quoi d'autre d'ailleurs) dans les coins les plus reculés du réseau.
Cela permettra de trouver les réponses DHCP en utilisant Linux :
# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'
Très utile, j'ai passé pas mal de temps à essayer de comprendre pourquoi j'obtenais tcpdump: syntax error . J'ai même posté une question à ce sujet, votre réponse m'a débloqué, merci ! networkengineering.stackexchange.com/questions/39534/
Une fois que vous avez établi qu'il y a un serveur dhcp malveillant sur le réseau, j'ai trouvé que le moyen le plus rapide de le résoudre était...
Envoyez un courriel à toute l'entreprise en disant :
"lequel d'entre vous a ajouté un routeur sans fil dans le LAN, vous avez tué l'Internet pour tout le monde"
attendez-vous à une réponse moutonnière, ou à ce que le dispositif conflictuel disparaisse, rapidement :)
Désactiver le serveur DHCP principal et (re)configurer une connexion.
Si vous obtenez une adresse IP, vous avez un voyou.
Si vous avez un Linux à portée de main, le dhcpclient standard vous indique l'adresse IP du serveur DHCP (sinon vous pouvez renifler le trafic pour voir d'où vient la réponse DHCP).
Bien que cela puisse fonctionner, l'arrêt d'un serveur DHCP de production n'est probablement pas la meilleure approche si vous vous préoccupez réellement des aspects suivants fournir le service ...
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
2 votes
Outil MS et très simple à utiliser ! Détection des serveurs DHCP malveillants - RogueChecker.zip blogs.technet.com/b/teamdhcp/archive/2009/07/03/
0 votes
J'ai trouvé une référence officielle à votre lien aa.malta à l'adresse suivante social.technet.microsoft.com/wiki/contents/articles/ mais le lien ne semble plus fonctionner depuis 2016. Il me montre des articles de blog de 2009, mais je ne vois que les articles du 6 juillet et du 29 juin. Il ne semble pas y avoir de message du 3 juillet, comme l'indique l'URL du lien que vous avez publié. Il semble que MS l'ait supprimé pour on ne sait quelle raison.
0 votes
Il semble que ce lien direct (que j'ai trouvé sur un site wordpress) fonctionne pour télécharger le fichier depuis un serveur Microsoft. Le lien fonctionne à partir de janvier 2016. Puisque l'URL est Microsoft, je pense qu'on peut lui faire confiance, mais je ne fais aucune garantie : blogs.technet.com/cfs-file.ashx/__key/
0 votes
La machine à remonter le temps en a une copie web.archive.org/web/20100601022750/http://blogs.technet.com/b/