Falesny DHCP server ?

Adam Pribyl pribyl na lowlevel.cz
Pondělí Listopad 9 22:51:41 CET 2015 

On Mon, 9 Nov 2015, Pavel wrote:

> Dobry vecer,
>
> resim problem v siti s DHCP serverem. Sit je
> 192.168.200.0/255.255.255.128. V posledni dobe ale nekteri klienti
> dostavaji adresy treba 192.168.200.133 nebo 192.168.200.142, coz je
> jiz mimo moji sit. Ale DNS maji pridelene spravne moje vereje adresy.
> O prideleni techto adres pochopitelne na DHCP v logu neni ani zminka,
> z toho soudim, ze v siti nekdo zapojil obracene router a rozdava tyto
> adresy on. Na klientovi je treba:
>
> IP    192.168.200.133   adresa mimo rozsah moji site
> brana 192.168.200.1     moje brana do internetu
> DNS   verejna IP z moji site
>
> v logu jsou jedine udaje pokud klient znovu zada o prideleni IP:
>
> Nov 9 20:16:15 pisecna dhcpd: DHCPREQUEST for 192.168.200.133 
> (192.168.1.1) from 94:44:52:f0:4b:a3 via eth1: ignored (not 
> authoritative). Nov 9 20:16:52 pisecna dhcpd: DHCPRELEASE of 
> 192.168.200.133 from 94:44:52:f0:4b:a3 via eth1 (not found) Nov 9 
> 20:41:28 pisecna dhcpd: DHCPREQUEST for 192.168.200.142 (192.168.1.1) 
> from 74:d4:35:f9:f4:70 via eth1: ignored (not authoritative). Nov 9 
> 20:42:12 pisecna dhcpd: DHCPRELEASE of 192.168.200.142 from 
> 74:d4:35:f9:f4:70 via eth1 (not found)

Ten log je z DHCP serveru? MAC adresy sedi? Jste si jist, ze udaj v 
zavorce je server, ze ktereho IP pochazi? Mate dhcpd omezen pouze na 
prislusny interface?

> klient si ponecha puvodni adresu. Pokud pingam na branu 192.168.200.1,
> ta je pochopitelne moje a odpovida. Podle logu, ale falesnou IP
> pridelil router 192.168.1.1. Jak muze router pridelovat adresy z jineho
> rozsahu, vetsina routeru za petistovku tohle vubec neumi. Navic sit

Ale ano, dokonce to nejde ani vypnout v nekterych modech, resp. explicitne 
se to nezapina a bohuzel to je pomerne caste.

> 192.168.1.0 mam na routeru take, ale na druhe sitovce smerem do
> internetu. Je jen kvuli administraci switche, takze ji muzu shodit,
> jestli to necemu pomuze. Kazdopadne se na tuto sit pak nedopingnu,
> takze skodici DHCP server neodpovida.

Neumi switch DHCP snooping?

> Resim jestli se neco zblaznilo u me a prideluje muj router adresy mimo
> sit (to mi prijde asi nerealna myslenka), takze hledam skodici router,
> ktery je ale zapojen jen par minut denne a nepodarilo se me ho nikdy
> lokalizovat, nebo ma zakazany ping i web administraci. Kdyz proskenuji
> porty IP 192.168.1.1 nenajdu zadny otevreny. Nevim uz jak dal hledat.
> Nejake napady ?

Pusste si tcpdump a cekejte na DHCP... pak musite hledat MAC.


> Dekuji za pomoc
>
>
> -- 
> Best regards,
> Pavel


Adam Pribyl

Další informace o konferenci Linux