我正在调查子网上的一些奇怪行为,其中主机注册未列出某些用户报告的某些 IP。现在我已经看到了 evince,我想被动扫描是否存在未在我的域中列出的流氓 DHCP 服务器。我该怎么做?
或者更确切地说,是否有任何 Linux 工具可以列出域内的 DCHP 服务器?(我可能会编写一个脚本来随机搜索,因为我怀疑 rouge DHCP 服务器并非一直处于开启状态,或者可能并非一直充当 DHCP 服务器。)
答案1
似乎很少有人建议检查某个客户端是否有坏地址,并查看其来源。例如,在 Windows 客户端上,“ipconfig /all”将立即告诉您恶意服务器的地址。
对于长期监控,可以设置 Nagios 的 check_dhcp 插件,在响应过多或出现意外响应时发出警告。
正如 TomTom 所说,大多数企业交换机都可以通过强化防御来防御各种威胁,包括恶意 DHCP 服务器。
答案2
Wireshark
尝试运行协议分析器,例如Wireshark连接到相关子网时。您需要bootp 上的过滤器消息。
如果您想以真正被动的方式执行此操作,则必须等到该子网上的客户端发起 DHCP 请求,之后您将看到子网上所有正在监听的 DHCP 服务器都会响应该客户端。如果您没有耐心,请使用连接的计算机自行发起 DHCP 请求。