Как отклонить лизу "поддельного" DHCP сервера

30 Июн 2005 - 01:51 Ромбовод 645 >> 6.16

Заранее извиняюсь за беспокойство.
Ситуация: довольно крупный провайдер(около 2000+ клиентов), настройки выдаются по dhcp. В сети как физические, так и юридические лица. Одна из подключенных к сети "контор" умудрилась криво настроить свой dhcp сервер, в результате он стал раздавать лизы всем подряд.(в сети адресация 172.16.0.0/16, а это чудо выдает 192.168.0.0/24) Провайдеру (по крайней мере администратору) об этом сервере извесно, требования тоже выдвинуты, вот только толи не хочет пров терять такого клиента, толи опять разгильдяйство, но сервер "конторы" все ещё криво настроен. Я же проживаю в соседнем от конторы доме, в результате ответ от их dhcp приходит быстрее. Как результат - 20-30 ipconfig /release; ipconfig /renew каждую перезагрузку. В *nix эта проблема решилась очень просто, reject 192.168.0.5;.
Вопрос: нет ли аналогичных комманд(отклонения лиз от определенного сервера) в Win 2k/XP

‹ I-Book(Mac OS 10.3) -> Win XP -> Server -> Internet Софт для сети... ›
  • 3771 просмотр
23 Авг 2005 - 18:21
romby team >> 1336 >> 8.41

Dmitrij писал(-а):

По порядку. Если DHCP клиента работает в сети прова - это значит что она работает на внешнем интерфейсе, что ИМХО грандиозный маразм, за что админу клиента нужно вырывать яйцы (сам админ, так шо знаю о чем говорю).

Согласен.

Dmitrij писал(-а):

Это раз. Если вы получаете левый DHCP в сети провайдера - это значит, что он не использует VLAN, то есть на вашем внешнем интерфейсе присутствует внешний траффик от массы клиентов данного прова, который и можно снифать - это во-вторых.

Только броадкасты. Ибо на другом конце как минимум мост, а то и маршрутизатор. VLAN далеко не всегда используются, т.к. 802.1Q требует поддержи на стороне устройства.

Dmitrij писал(-а):

Кстати за это нужно вырвать тот же орган, но уже админу прова. При чем тут DHCP к паролям - это уже ваши фантазии, так что я тут ни при чем. В моем посте ничего подобного нет. Что касается нмапа - если у них так все настроено - как вы думаете, может у них еще какие-нибудь сервисы доступны:) ? SAMBA, к примеру? Или у клиентов что проявится? Вы же можете просканить сетку нмапом по данным DHCP? Прикиньте, сколько там может быть интересных тачек - в том числе под виндой?

Вот вроде и все...

Угу. До первой провайдерской IDS на висящей на TAP. С учетом того, что DSL это всяко не Ethernet по скорости, сделать не так уж и сложно...

ex-K9

23 Авг 2005 - 18:36
>> 72 >> 0.07

K9 писал(-а):
Dmitrij писал(-а):

Это раз. Если вы получаете левый DHCP в сети провайдера - это значит, что он не использует VLAN, то есть на вашем внешнем интерфейсе присутствует внешний траффик от массы клиентов данного прова, который и можно снифать - это во-вторых.

Только броадкасты. Ибо на другом конце как минимум мост, а то и маршрутизатор. VLAN далеко не всегда используются, т.к. 802.1Q требует поддержи на стороне устройства.

Поддержка для дотКу требуется только на интерфейсе прова плюс на дотКушном хабе. Клиентам при порт-басед влане все пофигу (про ИП-басед врать не буду, не щупал-с, а на память пускай юзеря надеюцца). Тот факт что в сети видны "посторонние" машинки говорит о том, что в рамках "маршрутизатора" у прова стоит простой свитч, а снифферу это не помеха.

K9 писал(-а):
Dmitrij писал(-а):

Кстати за это нужно вырвать тот же орган, но уже админу прова. При чем тут DHCP к паролям - это уже ваши фантазии, так что я тут ни при чем. В моем посте ничего подобного нет. Что касается нмапа - если у них так все настроено - как вы думаете, может у них еще какие-нибудь сервисы доступны:) ? SAMBA, к примеру? Или у клиентов что проявится? Вы же можете просканить сетку нмапом по данным DHCP? Прикиньте, сколько там может быть интересных тачек - в том числе под виндой?

Вот вроде и все...

Угу. До первой провайдерской IDS на висящей на TAP. С учетом того, что DSL это всяко не Ethernet по скорости, сделать не так уж и сложно...

Ну что касается IDS - она должна как дура орать на любой левый DHCP, тем более что снифф по большому счету не очень и отличается. При рассматриваемом варианте конфига сети прова IDS нереальна...

Все люди как люди - а я, как всегда, Дартаньян...(

Аватар пользователя GetinakS
24 Авг 2005 - 12:19
Ромбовод >> 645 >> 6.16

Про руки тех, кто строил сеть я промолчу, у нас сделаны кучи сегментов, маршрутизации нет, сегменты друг-друга вообще не видят, просто мне неповезло оказаться в одном сегменте с dhcp сервером, да и висел он у клиентов не на внешнем интерфейсе, просто оба интерфейса клиентского шлюза оказались(толи по тупости монтажников, короче того, кто этому клиенту делал внутреннюю сеть) в сети. Смысла сканить сеть нет, сегмент, в котором я обитаю мальенький, отсилы 20 машин, а другие увы я не увижу.

Broadcast message from PAO EC
Power is going down for shutdown NOW!

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей