Comment puis-je savoir s'il y a un serveur DHCP malveillant sur mon réseau ?

Il y a plusieurs façons de procéder, si vous avez un petit réseau, le plus simple est d'éteindre, de désactiver ou de débrancher votre serveur DHCP, puis d'exécuter la commande suivante ipconfig /renew ou une commande similaire sur un client. Si vous obtenez une adresse IP, c'est qu'il y a quelque chose de louche sur votre réseau.

Un autre moyen serait d'utiliser Wireshark Capteur/analyseur de paquets pour examiner le trafic de votre réseau et trouver les connexions DHCP. Il existe une feuille de travail sur la manière de procéder, disponible à l'adresse suivante ici .

Il existe également un certain nombre d'utilitaires disponibles qui proposent de le faire. Explorateur DHCP une autre est la sonde DHCP que vous avez mentionnée dans votre message original.

Vous pouvez utiliser RogueChecker de Microsoft :

lien original : http://blogs.technet.com/b/teamdhcp/archive/2009/07/03/rogue-dhcp-server-detection.aspx

lien avec le téléchargement : https://web.archive.org/web/20141022013752/http://blogs.technet.com/b/teamdhcp/archive/2009/07/03/rogue-dhcp-server-detection.aspx

lisez également ces informations :

https://social.technet.microsoft.com/wiki/contents/articles/25660.how-to-prevent-rogue-dhcp-servers-on-your-network.aspx

Sur debian/ubuntu, on peut aussi utiliser les options suivantes dhcpdump et/ou tcpdump à l'aide, par exemple, de dhclient

Utilisez dhcpdump :

• 1.a) courir dhcpdump -i eth0 dans une Shell/Shell (eth0 ou le nom de votre interface)

• 1.b) commencer dhclient dans un autre Shell (il n'est pas nécessaire qu'il s'exécute avec succès)

• 1.c) examinez la sortie de dhcpdump pour l'information (il doit s'agir d'une liste bien formatée et informative contenant le plus de détails)

Option 2 si vous n'aimez pas utiliser dhcpdump :

• 2.a) courir tcpdump -i eth0 -t -n > /tmp/my_file.txt dans une Shell/fenêtre
  (facultatif : -t = désactiver l'horodatage // -n = désactiver la résolution de nom, juste l'adresse IP, pas de noms de serveur (pour RHEL/centos utiliser -nn) )
• 2.b) commencer dhclient dans un autre Shell (il n'est pas nécessaire qu'il s'exécute avec succès)
• 2.c) arrêter le tcpdump en cours d'exécution ()
• 2.d) examinez le fichier /tmp/mon_fichier.txt avec votre éditeur favori et cherchez des choses comme : ".53" (le port DNS par défaut) / "NX" / "CNAME" / "A ?" / "AAAA" -

*sidenote : tcpdump et dhcpdump doivent probablement être installés (par ex : sudo apt get install tcpdump dhcpdump ) ; dhcpdump dépend de tcpdump

Vous pouvez effectuer un balayage ping de vos réseaux et le comparer au nombre de baux DHCP distribués par votre serveur DHCP.

Vous devez avoir une idée générale du nombre de périphériques statiques (interfaces de routeur et imprimantes peut-être), ce qui faussera légèrement ce chiffre, mais cela devrait être un moyen rapide et précis de les identifier sur plusieurs réseaux.

Sous OSX (et je soupçonne Linux), c'est ce que j'ai fait :

tcpdump -i en0 -n port 67 or port 68

Vous devrez modifier le en0 pour être le nom de votre interface. Une fois que j'ai fait une demande DHCP (en cliquant sur Renew DHCP Lease dans la section avancée du panneau Network System Preferences), j'ai vu quelque chose comme le suivant :

15:59:17.843 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 6:b:5:9:f:3, \
        length 300
15:59:17.847 IP 10.1.2.1.67 > 10.1.2.155.68: BOOTP/DHCP, Reply, length 309

Le port 67 est listé dans mon /etc/services comme "bootps" Bootstrap Protocol Server.

Il peut être nécessaire de désactiver votre serveur DHCP principal pour voir si d'autres périphériques réseau répondent de manière inappropriée aux demandes DHCP.