dhcdrop - средство для поиска и подавления сторонних DHCP-серверов

в локалке пошалить - полезно, а для дела врядли пригодится... you bad %(

задача - очень полезная. метод - зверский. а есть ли более гуманное решение?

ну, кмк при нормально настроенной сети такое исключено, хотя для своей задачи программа подходит идеально...

З.ы. она хоть маки удушаемых серверов пишет? :D

Забавненько.

А вот если на dhcp—сервере привязка по МАК-адресам (а так чаще всего и бывает) — как «нейтрализовать» такой сервер?

>А вот если на dhcp—сервере привязка по МАК-адресам (а так чаще всего и бывает) — как «нейтрализовать» такой сервер?

Тоже интересует такой вопрос.

соотвествующие rfc читали?

Если ты в курсе, о чем речь, что бывает аренда адреса, а бывает резервация адреса. Аренда - сервер смотрит мак клиента и выдает _временный_ адрес, резервация - сервер смотрит мак клиента, сверяется с таблицей резервации и выдает _постоянный_ адрес, один и тот же всегда, хоть сейчас хоть через год.

Программка генерит маки и заваливает временную аренду - задача в том, чтобы не допустить выдачи адресов нелегитимным сервером. Вопрос в другом - есть ли средство для отслеживания такого сервера - в теи нужно понять, кто это, а не просто завалить и все.

иногда в сети пользователи включают на своих девайсах dhcp сервер, сами незная что это такое. вот в таких случаях dhcdrop может пригодиться

Тоесть УРА? Теперь можно досить сервер прова? Класс, вот это прога, ну берегитесь провы...;)

>Тоесть УРА? Теперь можно досить сервер прова? Класс, вот это прога, ну берегитесь провы...;)

поломал Вася-хакер своего провайдера и сидит теперь как дурак без интернета...

>иногда в сети пользователи включают на своих девайсах dhcp сервер, сами незная что это такое. вот в таких случаях dhcdrop может пригодиться

хреновая та сеть, где пользователи могут сами включать то, что им вздумается...

> хреновая та сеть, где пользователи могут сами включать то, что им вздумается...

Надеюсь, что сеть, где "студент воткнул ноут -- и нифига" -- останется лишь мечтой наших безопасников.

полезная тулза, правда попадает в категорию "палка о двух концах".

как и многое другое,например

ping -f

В большинстве случаев "левый" сервер появляется как раз из-за ошибок настройки - либо ламер Вася воткнул прововский кабель в LAN-гнездо своего роутера, либо криворукий коллега из соседнего сегмента сети забыл ограничить свой сервак маками своего сегмента.

А если "чужой" привязывается к вашим же макам - это намеренное вредительство. Тут разговор короткий: берете монтировку и применяете ее безо всякого стеснения.

> В большинстве случаев "левый" сервер появляется как раз из-за ошибок настройки - либо ламер Вася воткнул прововский кабель в LAN-гнездо своего роутера

Плюсую! Как правило в таких случаях на роутере остаётся дефолтный пароль и я захожу на веб-морду, выключаю DHCP-сервер и меняю пароль =).

Кстати говоря, в dhcpcd есть опция -X (--blacklist), которая позволяет блокировать неправильные адреса, выдаваемые DHCP-серварами. -X 192.168.0.0/16 решает 99% проблем с криворукими васипупкиными (конечно что при условии, что "правильный" DHCP-сервер выдаёт адреса из другого диапазона).

>задача в том, чтобы не допустить выдачи адресов нелегитимным сервером.

В тексте новости рассмотрены различные методы решения этой задачи.

>Вопрос в другом - есть ли средство для отслеживания такого сервера - в теи нужно понять, кто это, а не просто завалить и все.

traceroute для канального уровня пока не придумали :)

У моего коллеги однажды на работе появился "левый" сервак. А там вся сеть была на свичах, причем на тупых свичах. Больше полусотни компов на разных этажах - и явно вмваревский мак :)
В тот раз он просто собрал всех юзеров и показал им монтировку. Этого хватило.

>Кстати говоря, в dhcpcd есть опция -X (--blacklist)

Хм. Может и правда с dhclient переползти... Только вот что с виндовыми клиентами делать?

В силу специфики моего домашнего интернета (коаксиал со спец. модемом) и моего места работы (в числе прочего, обслуживаю несколько сегментов корпоративной локалки) вариант с криворуким коллегой, который поднял DHCP-сервер и не стал его ни в чем ограничивать, для меня гораздо более актуален, нежели вариант с LAN-портом.

А между прочим боян - http://dhcpstarv.sourceforge.net/

Вообще-то все это можно реализовать используя обычный генератор пакетов и простенький скрипт. С трудом представляю себе, что кто-то всерьез будет бороться с левыми dhcp в своей сети таким дурным способом. Более разумные варианты - превентивные меры. Например, засунуть каждого клиента в свой vlan, или, например, левый трафик резать с помощью ACL на доступе. Естественно, нужно управляемое оборудование, но строить нормальные сети можно только на управляемом оборудовании. Тут даже если никаких мер по борьбе с левым трафиком не предусмотрено, его всегда будет легче отследить и отрезать от остальной сети в случае возникновения. Опять же левые дхцп-сервера - не единственная проблема. Есть еще петли, флуд разных сортов, вирусы, arp-атаки и т.д. И потом, что значит "для стресс-тестирования DHCP-серверов". Ну исчерпали мы все адреса, дальше что? Что оттестировали-то:) Вообщем, легального применения не вижу!!!

> Хм. Может и правда с dhclient переползти..

А dhclient разве не понимает опцию reject в конфиге? Или я его с кем-то путаю?

>поломал Вася-хакер своего провайдера и сидит теперь как дурак без интернета...

Не так все мрачно, Вася теперь использует всю ширину интернет-канала.

я не понял, теперь я могу дропнуть всех клиентов своего провайдера?

> проводит "зачистку" с интерфейса eth1

хи-хи

> Надеюсь, что сеть, где "студент воткнул ноут -- и нифига" -- останется лишь мечтой наших безопасников.

Ну почему же только их? dhcp с привязкой к mac и статическая arp таблица... Вуаля.

Ну или dot1x+RADIUS.

> Ну или dot1x+RADIUS.

802.1x не выделяет адресов, а только разрешает пропускать трафик. Адреса так или иначе придется назначать, и от левого dhcp dot1x не спасает.

Идеальный вариант — управляемый коммутатор с acl, dhcpdnoop и ограничением одного MAC на порт.

> Ну или dot1x+RADIUS.

Это всё верно и в приличном офисе должно быть, но в вузе пусть лучше останется вариант 1.

> управляемый коммутатор
при наличии управляемых планетов за 6тыров (8 100/2 GE), в которых можно накрутить почти любые правила (по сравнению с cat 2950), как-то -пропуск только 1 адреса с этого порта и только запросы а не ответы - проблему можно считать закрытой

>и от левого dhcp dot1x не спасает.

ну как же не спасёт? никакой девайс ведь (в т.ч. с dhcp службой) не сможет быть подключен без вашего ведома и соответствующего сертификата

Зачем вы вспоминаете древнюю рухлядь 2950? Ведь есть же давно 2960, на котором тоже можно накрутить что угодно. Ж;-) Но да - цена у него совсем другая. Ж;-)