Falesny DHCP server ?

Pavel linux na argonet.cz
Úterý Listopad 10 00:34:57 CET 2015 

Dobry vecer,

Monday, November 9, 2015, 10:51:41 PM, you wrote:

AP> On Mon, 9 Nov 2015, Pavel wrote:

>> Dobry vecer,
>>
>> resim problem v siti s DHCP serverem. Sit je
>> 192.168.200.0/255.255.255.128. V posledni dobe ale nekteri klienti
>> dostavaji adresy treba 192.168.200.133 nebo 192.168.200.142, coz je
>> jiz mimo moji sit. Ale DNS maji pridelene spravne moje vereje adresy.
>> O prideleni techto adres pochopitelne na DHCP v logu neni ani zminka,
>> z toho soudim, ze v siti nekdo zapojil obracene router a rozdava tyto
>> adresy on. Na klientovi je treba:
>>
>> IP    192.168.200.133   adresa mimo rozsah moji site
>> brana 192.168.200.1     moje brana do internetu
>> DNS   verejna IP z moji site
>>
>> v logu jsou jedine udaje pokud klient znovu zada o prideleni IP:
>>
>> Nov 9 20:16:15 pisecna dhcpd: DHCPREQUEST for 192.168.200.133 
>> (192.168.1.1) from 94:44:52:f0:4b:a3 via eth1: ignored (not 
>> authoritative). Nov 9 20:16:52 pisecna dhcpd: DHCPRELEASE of 
>> 192.168.200.133 from 94:44:52:f0:4b:a3 via eth1 (not found) Nov 9 
>> 20:41:28 pisecna dhcpd: DHCPREQUEST for 192.168.200.142 (192.168.1.1)
>> from 74:d4:35:f9:f4:70 via eth1: ignored (not authoritative). Nov 9
>> 20:42:12 pisecna dhcpd: DHCPRELEASE of 192.168.200.142 from 
>> 74:d4:35:f9:f4:70 via eth1 (not found)

AP> Ten log je z DHCP serveru? MAC adresy sedi? Jste si jist, ze udaj v
AP> zavorce je server, ze ktereho IP pochazi? Mate dhcpd omezen pouze na
AP> prislusny interface?
Ano je to z linuxoveho stroje z DHCP serveru. Co by v zavorce bylo za
udaj ? U korektnich radku je tam verejna IP meho DHCP serveru. DHCP je
pouze na sitovce do vnitrni site.


>> klient si ponecha puvodni adresu. Pokud pingam na branu 192.168.200.1,
>> ta je pochopitelne moje a odpovida. Podle logu, ale falesnou IP
>> pridelil router 192.168.1.1. Jak muze router pridelovat adresy z jineho
>> rozsahu, vetsina routeru za petistovku tohle vubec neumi. Navic sit

AP> Ale ano, dokonce to nejde ani vypnout v nekterych modech, resp. explicitne
AP> se to nezapina a bohuzel to je pomerne caste.

>> 192.168.1.0 mam na routeru take, ale na druhe sitovce smerem do
>> internetu. Je jen kvuli administraci switche, takze ji muzu shodit,
>> jestli to necemu pomuze. Kazdopadne se na tuto sit pak nedopingnu,
>> takze skodici DHCP server neodpovida.

AP> Neumi switch DHCP snooping?
No ja to u toho 3COM 3226 bohuzel nenasel.


>> Resim jestli se neco zblaznilo u me a prideluje muj router adresy mimo
>> sit (to mi prijde asi nerealna myslenka), takze hledam skodici router,
>> ktery je ale zapojen jen par minut denne a nepodarilo se me ho nikdy
>> lokalizovat, nebo ma zakazany ping i web administraci. Kdyz proskenuji
>> porty IP 192.168.1.1 nenajdu zadny otevreny. Nevim uz jak dal hledat.
>> Nejake napady ?

AP> Pusste si tcpdump a cekejte na DHCP... pak musite hledat MAC.
Zatim se me nikdy nepodarilo to najit, nebo presne vyspecifikovat, co
ma ukladat, abych to tam videl.


Dekuji


-- 
Best regards,
 Pavel

Další informace o konferenci Linux