Как отклонить лизу "поддельного" DHCP сервера
Заранее извиняюсь за беспокойство.
Ситуация: довольно крупный провайдер(около 2000+ клиентов), настройки выдаются по dhcp. В сети как физические, так и юридические лица. Одна из подключенных к сети "контор" умудрилась криво настроить свой dhcp сервер, в результате он стал раздавать лизы всем подряд.(в сети адресация 172.16.0.0/16, а это чудо выдает 192.168.0.0/24) Провайдеру (по крайней мере администратору) об этом сервере извесно, требования тоже выдвинуты, вот только толи не хочет пров терять такого клиента, толи опять разгильдяйство, но сервер "конторы" все ещё криво настроен. Я же проживаю в соседнем от конторы доме, в результате ответ от их dhcp приходит быстрее. Как результат - 20-30 ipconfig /release; ipconfig /renew каждую перезагрузку. В *nix эта проблема решилась очень просто, reject 192.168.0.5;.
Вопрос: нет ли аналогичных комманд(отклонения лиз от определенного сервера) в Win 2k/XP
![Ленты новостей](/misc/feed.png "Комментарии к \"Как отклонить лизу "поддельного" DHCP сервера\""){kind=small}
Прошивка и настройка BIOS, переделка и ремонт материнских плат, БП, видеокарт, HDD.
ROM.by 2002-2019 © apple_rom
GetinakS а фаерволом зарезать вообще все что приходит с этого товарища, в частности по mac-адресу?
ex-K9
Фаерволом пробовал, но толи винда раньше славливает лизу, толи wipfw сыроват ещё.
Да и проблема *вроде* решилась, администрация сети разобралась с обладателями сервера.
Broadcast message from PAO EC
Power is going down for shutdown NOW!
GetinakS
Тем не менее (самому, вполне вероятно, скоро инфа понадобится в аналогичной ситуации) - на какой платформе серверы:
а) у прова;
б) у "злого" клиента?..
- Ситчик веселенький есть?..
- Приезжайте, обхохочетесь!..
У прова - FreeBSD
У клиента - Linux
Broadcast message from PAO EC
Power is going down for shutdown NOW!
GetinakS
Спсб...
- Ситчик веселенький есть?..
- Приезжайте, обхохочетесь!..
С такими платформами (Фря и Линух) гнать надо админов прова. Думаю что запустив сниф, ты получишь оочень много паролей и другой инфы:) А еще попробуй их понмапить - глядишь и нароешь чего интересного:)
Все люди как люди - а я, как всегда, Дартаньян...(
Dmitrij
. Вон вам пример того, что он отдает:
чтото не понимаю я вас... имхо это под виндами я паролей могу наснифать, но таких провов мало. И какие пароли вы через dhcp отловите?
getinaks@thunder$ cat /var/db/dhclient.leases lease { interface "xl0"; fixed-address 10.35.11.242; option subnet-mask 255.255.0.0; option dhcp-lease-time 4320000; option dhcp-message-type 5; option dhcp-server-identifier 10.35.0.1; option domain-name-servers 10.35.0.5,10.35.0.3; option domain-name "local"; renew 2 2006/7/25 23:44:08; rebind 6 2006/8/19 00:41:34; expire 5 2006/8/25 06:41:34; }Где вы тут пароли увидели?
оффтоп
Про 255.255.0.0 я промолчу... Хотя сегментация решает.
/оффтоп
Broadcast message from PAO EC
Power is going down for shutdown NOW!
Еще один забавный случай с "левым" DHCP был в эти выходные.
Апгоейдил в дружественном офисе сервер, за одно переселял на домашнем компе одного из сотрудников ОС и данные со 160 на 250. Запустил копирование, вкрутил еще один диск в сервер, убедился что сервер его "переварил", и прикинув, сколько времени займет перекачка данных решили, что остальное доделаем завтра.
Завтра загружаю домашний комп с нового диска и говорю, что пока он тут в офисе, давай-ка скачаем обновления. Параллельно начинаем проверять как работает сервак в новой конфигурации. Вдруг начинаются чудеса. Появляется в сети "левый" DHCP, из-за этого часть машин, в т.ч. привезенная из дома ни сервера ни инета не видят... Ладно вбиваю на домашней тачке IP руками, и начинаю скачивать обновления. Теперь есть время разбраться с DHCP. Откуда ж он взялся-то???
Оказалось, что в свое время на этой машинке пришлось ставить VMWare, так как нужно было запустить программу для работы с телефоном, а она работала только под Win98. Так вот эта ВМВарь для связи с виртуальной 98 подняла DHCP и стала раздавать адреса не только через свои виртуальные сетевухи, но и через реальную... #-o
За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.
rgt это не забавный глюк, это нормальное поведение VMware в руках идиота. Ибо надо все же думать и выбирать между bridged LAN и VMware DHCP. У нас такое периодически случается. Кажется в последних версиях VMware сделали какую-то защиту от дурака, а раньше неши программеры-мышкотыкатили с потрясающей регулсрностью наступали на эти грабли...
ex-K9
getinaks@thunder$ cat /var/db/dhclient.leases lease { interface "xl0"; fixed-address 10.35.11.242; option subnet-mask 255.255.0.0; option dhcp-lease-time 4320000; option dhcp-message-type 5; option dhcp-server-identifier 10.35.0.1; option domain-name-servers 10.35.0.5,10.35.0.3; option domain-name "local"; renew 2 2006/7/25 23:44:08; rebind 6 2006/8/19 00:41:34; expire 5 2006/8/25 06:41:34; }Где вы тут пароли увидели?
оффтоп
Про 255.255.0.0 я промолчу... Хотя сегментация решает.
/оффтоп
По порядку. Если DHCP клиента работает в сети прова - это значит что она работает на внешнем интерфейсе, что ИМХО грандиозный маразм, за что админу клиента нужно вырывать яйцы (сам админ, так шо знаю о чем говорю). Это раз. Если вы получаете левый DHCP в сети провайдера - это значит, что он не использует VLAN, то есть на вашем внешнем интерфейсе присутствует внешний траффик от массы клиентов данного прова, который и можно снифать - это во-вторых. Кстати за это нужно вырвать тот же орган, но уже админу прова. При чем тут DHCP к паролям - это уже ваши фантазии, так что я тут ни при чем. В моем посте ничего подобного нет. Что касается нмапа - если у них так все настроено - как вы думаете, может у них еще какие-нибудь сервисы доступны
? SAMBA, к примеру? Или у клиентов что проявится? Вы же можете просканить сетку нмапом по данным DHCP? Прикиньте, сколько там может быть интересных тачек - в том числе под виндой?
Вот вроде и все...
Все люди как люди - а я, как всегда, Дартаньян...(
Отправить комментарий