. dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

Сталкивались ли вы когда-нибудь с появлением «левого» DHCP-сервера в сети, большая часть компов которой получает адреса через DHCP? Это может быть сеть вашего провайдера, или администрируемая вами корпоративная сетка. В итоге - падение сети на всех клиентских машинах.

Конечно, есть такие прекрасные вещи, как DHCP snooping на свичах и ebtables на клиентских машинах. Но snooping поддерживают далеко не все свичи, да и сами свичи могут находиться вне подконтрольной вам зоны. А ebtables у каждого клиента настраивать - то еще веселенькое занятие (особенно в отсутствие сети).

Предлагаемая вашему вниманию программа dhcdrop обеспечивает поиск сторонних DHCP-серверов и их подавление путем исчерпания пула IP-адресов (DHCP starvation). Например,

проводит «зачистку» с интерфейса eth1, не трогая «легальный» сервер с маком 00:11:22:33:44:55 и снося все живое без лишних вопросов (-y).

Также эта программа может применяться для стресс-тестирования DHCP-серверов.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

в локалке пошалить - полезно, а для дела врядли пригодится. you bad %(

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

задача - очень полезная. метод - зверский. а есть ли более гуманное решение?

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

ну, кмк при нормально настроенной сети такое исключено, хотя для своей задачи программа подходит идеально.

З.ы. она хоть маки удушаемых серверов пишет? :D

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

А вот если на dhcp—сервере привязка по МАК-адресам (а так чаще всего и бывает) — как «нейтрализовать» такой сервер?

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

>А вот если на dhcp—сервере привязка по МАК-адресам (а так чаще всего и бывает) — как «нейтрализовать» такой сервер?

Тоже интересует такой вопрос.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

соотвествующие rfc читали?

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

Если ты в курсе, о чем речь, что бывает аренда адреса, а бывает резервация адреса. Аренда - сервер смотрит мак клиента и выдает _временный_ адрес, резервация - сервер смотрит мак клиента, сверяется с таблицей резервации и выдает _постоянный_ адрес, один и тот же всегда, хоть сейчас хоть через год.

Программка генерит маки и заваливает временную аренду - задача в том, чтобы не допустить выдачи адресов нелегитимным сервером. Вопрос в другом - есть ли средство для отслеживания такого сервера - в теи нужно понять, кто это, а не просто завалить и все.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

иногда в сети пользователи включают на своих девайсах dhcp сервер, сами незная что это такое. вот в таких случаях dhcdrop может пригодиться

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

Тоесть УРА? Теперь можно досить сервер прова? Класс, вот это прога, ну берегитесь провы. ;)

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

>Тоесть УРА? Теперь можно досить сервер прова? Класс, вот это прога, ну берегитесь провы. ;)

поломал Вася-хакер своего провайдера и сидит теперь как дурак без интернета.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

>иногда в сети пользователи включают на своих девайсах dhcp сервер, сами незная что это такое. вот в таких случаях dhcdrop может пригодиться

хреновая та сеть, где пользователи могут сами включать то, что им вздумается.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

> хреновая та сеть, где пользователи могут сами включать то, что им вздумается.

Надеюсь, что сеть, где "студент воткнул ноут -- и нифига" -- останется лишь мечтой наших безопасников.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

полезная тулза, правда попадает в категорию "палка о двух концах".

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

как и многое другое,например

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

В большинстве случаев "левый" сервер появляется как раз из-за ошибок настройки - либо ламер Вася воткнул прововский кабель в LAN-гнездо своего роутера, либо криворукий коллега из соседнего сегмента сети забыл ограничить свой сервак маками своего сегмента.

А если "чужой" привязывается к вашим же макам - это намеренное вредительство. Тут разговор короткий: берете монтировку и применяете ее безо всякого стеснения.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

> В большинстве случаев "левый" сервер появляется как раз из-за ошибок настройки - либо ламер Вася воткнул прововский кабель в LAN-гнездо своего роутера

Плюсую! Как правило в таких случаях на роутере остаётся дефолтный пароль и я захожу на веб-морду, выключаю DHCP-сервер и меняю пароль =).

Кстати говоря, в dhcpcd есть опция -X (--blacklist), которая позволяет блокировать неправильные адреса, выдаваемые DHCP-серварами. -X 192.168.0.0/16 решает 99% проблем с криворукими васипупкиными (конечно что при условии, что "правильный" DHCP-сервер выдаёт адреса из другого диапазона).

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

>задача в том, чтобы не допустить выдачи адресов нелегитимным сервером.

В тексте новости рассмотрены различные методы решения этой задачи. >Вопрос в другом - есть ли средство для отслеживания такого сервера - в теи нужно понять, кто это, а не просто завалить и все.

traceroute для канального уровня пока не придумали :)

У моего коллеги однажды на работе появился "левый" сервак. А там вся сеть была на свичах, причем на тупых свичах. Больше полусотни компов на разных этажах - и явно вмваревский мак :) В тот раз он просто собрал всех юзеров и показал им монтировку. Этого хватило.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

>Кстати говоря, в dhcpcd есть опция -X (--blacklist)

Хм. Может и правда с dhclient переползти. Только вот что с виндовыми клиентами делать?

В силу специфики моего домашнего интернета (коаксиал со спец. модемом) и моего места работы (в числе прочего, обслуживаю несколько сегментов корпоративной локалки) вариант с криворуким коллегой, который поднял DHCP-сервер и не стал его ни в чем ограничивать, для меня гораздо более актуален, нежели вариант с LAN-портом.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

Вообще-то все это можно реализовать используя обычный генератор пакетов и простенький скрипт. С трудом представляю себе, что кто-то всерьез будет бороться с левыми dhcp в своей сети таким дурным способом. Более разумные варианты - превентивные меры. Например, засунуть каждого клиента в свой vlan, или, например, левый трафик резать с помощью ACL на доступе. Естественно, нужно управляемое оборудование, но строить нормальные сети можно только на управляемом оборудовании. Тут даже если никаких мер по борьбе с левым трафиком не предусмотрено, его всегда будет легче отследить и отрезать от остальной сети в случае возникновения. Опять же левые дхцп-сервера - не единственная проблема. Есть еще петли, флуд разных сортов, вирусы, arp-атаки и т.д. И потом, что значит "для стресс-тестирования DHCP-серверов". Ну исчерпали мы все адреса, дальше что? Что оттестировали-то:) Вообщем, легального применения не вижу.

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

> Хм. Может и правда с dhclient переползти..

А dhclient разве не понимает опцию reject в конфиге? Или я его с кем-то путаю?

Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

>поломал Вася-хакер своего провайдера и сидит теперь как дурак без интернета.

📎📎📎📎📎📎📎📎📎📎