Неизвестный DHCP сервер в сети, как выявить?
Такая проблема: есть локальная сеть на 200 ПК, с DHCP+DDNS. со вчерашнего дня заметил что некоторые клиенты стали мигрировать в другую подсеть и соответственно выпадают из рабочего сегмента, анализ показал что существует в сети еще одни DHCP сервер (192.168.50.254):
Apr 4 09:51:57 main dhcpd: DHCPREQUEST for 192.168.50.164 (192.168.50.254) from 00:e0:4d:05:26:8e via eth0: wrong network.
в то время как у нас подсеть 172.16.0.xxx
далее я зарегистрировался в «новой» подсети, ping 192.168.50.254 ничего не дает, wireshark мак не находит, в таблице ARP тоже ничего нет на эту тему,попытка присвоить кому-нибудь адрес 192.168.50.254 естественно не срабатывает т.к. адрес уже занят.
Как прибить левый DHCP ?
Как определить dhcp сервер в сети
Есть сетка, в которой клиентам адреса раздаются по DHCP.
Естественно, админ вне доступа (ибо пятница), а надо посмотреть настройки и текущие выданные адреса.
Как можно узнать, какой из 7ми серверов является dhcp?
ЗЫ. просмотр оснастки mmc ничего не дал (или я не увидел)
ipconfig /all на клиенте
(0) ipconfig /all тебя спасёт 🙂
ЗЫ.. если не поймёшь что к чему — выложи сюда результат
чорд.
Доступные мне сейчас клиенты все имеют
Dhcp включен. . . . . . . . . . . : нет
А надо таки. просто есть пара узлов, которые получают именно по дхцп. И вот к ним понадобилось лезть 🙁
(1,2,3) у меня там не сам сервер, а вся подсеть указана
(3) включи dhcp на доступном клиенте и перегрузи комп (если у вас dhcp раздаёт адреса всем попросившим, а не по МАК-адресам
тады лезь на каждый сервак.. Настройка — Администрирование — DHCP )) где-то да увидишь..
(3) у меня, например, два сервака DHCP раздают.. а еще могут всякие точки доступа и т.п.
(0) а имена компов известны?
(5) Так и придётся, но уже завтра. Сегодня отсюда не получится.
(6) Полазил — нигде не нашёл
(7) не, у нас точки точно не раздают 🙂 А два сервера — могут. Ибо 1 первичный контроллер, и два резервных. Нафига — это вопрос уже не ко мне, я сетевую структуру переделывать не буду, и админа не пущу 🙂
(8) Там как раз не комп, а точка доступа. К ней и достучаться надо. Поэтому даже с консоли не посмотреть.
(4) должен увидеть что-то типа такого:
Описание. . . . . . . . . . . . . : Atheros L1 Gigabit Ethernet 10/100/1000Ba
-T Controller
Физический адрес. . . . . . . . . : 00-1А-8C-BB-56-E4
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::f5аc:bb1c:ed23:db4d%10(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 27 августа 2010 г. 15:09:51
Срок аренды истекает. . . . . . . . . . : 28 августа 2010 г. 18:44:00
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 234888844
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-12-7B-96-FА-00-1E-8C-BB-56-E4
DNS-серверы. . . . . . . . . . . : 192.168.1.1
Основной WINS-сервер. . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен
(9) точку доступа обычно по DHCP в здравом уме не подключают (скорей всего статика), хотя все от масштабов сети зависит.
(11) Там точка предназначена для одной специфичной задачи, которая нужна раз в месяц, на инвентаризации, ибо стационары не добивают.
Как определить dhcp сервер в сети
Появилось в сети некое устройство, возможно dhcp сервер, которое сволоч гадит и никак я не могу его обнаружить.
Основной dhcp сервер выдает адреса вида 192.168.150.ххх
а этот левый из диапазона 192.168.0.ххх
Машина после получения адреса например 192.168.0.10, видно что шлюзом встает 192.168.0.1 и он пингуется. Как определить, что за устройство на этом адресе?
upconfig /all и посмотреть, что за сервер.
ipconfig в смысле
а что кажет собственно твой диашсипи
(1) ipconfig просто выдает инфу о сетевых адаптерах и ip адресах на них.
Просто думал может возможно как то сниффером зацепить и посмотреть, что за устройство, хотя бы марку
(3) в смысле?
сколько машин в сети ?
(4) А, ты хочешь узнать по адресу физическое устройство?
(0) Ну для начала, точки доступа или роутеры есть? Их смотрел?
LanScope запусти посмотри
дамварей попробуй к нему причепиться
(0) узнай ip сервера dhcp, потом пробуй этот ip на netbios
узнать можно от мащины, которая получила левый ip
yну узнаешь адрес DHCP сервера и что дальше? Как это поможет?
(12) как пример nbtstat -A ip_DHCP
(13)а дальше что с этой инфой делать?
как-как, фонарик в руки и вдоль витой пары — тубудумтубудумтубудум.
(0)Попробуй зайти на 192.168.0.1 по http, ssh, telnet
Похоже на какой-нибудь роутер или точку доступа
(0) Обычно 192.168.0.1 — это какие-нибудь роутеры. DHCP в них включен по-умолчанию. Попробуй в эксплорере набрать этот адрес с подключившейся машины — мож авторизацию запросит. А по фону будет ясно что за зверь.
(16) Я на секунду опоздал. 🙂
Или ноутбук кто свой воткнул.
(19) С поднятым сервером DHCP? Вряд ли.
(16) ip 192.168.0.1 пигуется, но по всем протоколам http, ssh, telnet не отвечает
+ (19) Хотя винда этот адрес присваивает машине, если через нее доступ в Инет настраивать штатными средствами. И DHCP на ней подымает. В принципе возможно.
(0)Сколько сетевых на контроллере домена?
(24)если серват по виндой . раздает ли он доступ в инет
методом тыка и выдергивания шнурков с маршрутизатора нашел.
один чудак на букву «М» подключил через свой роутер сетевой принтер, комп, телефон, а на нем естественно включен dhcp сервер.
спасибо всем огромное за разжевывание данной темы.
(27) коленку прострелили ему?
дхсп на телефоне, жесть. скоро в контору зайдешь с включенным блютусом на телефоне, и у них сервак с базой упадет.
ну и я прав оказался, в принципе )
(29)DHCP на роутере),но скоро и в сотовых будет походу.
тьфу, «а на нем» — это на роутере, конечно.
(27) У вас чуваки со своими роутерами, принтерами, неизвестными компами на работу ходють?? 🙂
(4) Если есть машинка с любым Linux-ом, можно командой nmap -p1-1000 192.168.0.1 пробежаться по портам и выяснить что за оборудование:
nmap -p1-1000 192.168.0.1
Starting Nmap 5.21 ( http://nmap.org ) at 2011-12-07 11:41 MSK
Nmap scan report for 192.168.0.1
Host is up (0.034s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
443/tcp open https
MAC Address: 00:50:60:04:9D:66 (Tandberg Telecom AS)
Nmap done: 1 IP address (1 host up) scanned in 2.40 seconds
(32) а так нужно содержать отдел ИБ, заклеивать каждый свободный порт,отключать его от коммутатора физически или логически в коммутаторе и с каждого брать расписку о недопустимости подобных действий. опять же все это потом постоянно контролировать.
(34) зачем? вполне достаточно прописать на своих роутерах допустимые маки, ну а если кто-то скопирует мак адрес — то это уже явный взлом
Как определить dhcp сервер в сети
Может кто подскажет? DHCP-сервер слушает на 67 порту. Но ни одним сканером я не смог его обнаружить. А нужно отловить все возможные DHCP-сервера, т.к. лишние могут мешать основному. Или как можно по другому справиться с этой проблемой?
| Оглавление |
- RE: Как найти в локальной сети DHCP-сервера, Sampan, 14:19 , 17-Мрт-02, (1)
- RE: Как найти в локальной сети DHCP-сервера, Ptica, 16:03 , 18-Мрт-02, (3)
- RE: Как найти в локальной сети DHCP-сервера, Sampan, 13:32 , 20-Мрт-02, (5)
- Это-то понятно, но проблема в другом., Ptica, 16:07 , 18-Мрт-02, (4)
- RE: Это-то понятно, но проблема в другом., Sampan, 13:36 , 20-Мрт-02, ( 6 )
Сообщения по теме UDP сканирование 67 порта может не помочь.
Но проблема (сабж) решаема.
DHCP протокол, по определению и назначению, является широковещательным. Нужно на рабочей станции генерить пакеты DHCPDISCOVER и любым сниффером ловить ответы от DHCP серверов. Так ты получишь список всех доступных DHCP серверов.
Вариантов реализации — миллион (зависит от платформы рабочей станции, наличия сниффера, структуры сети и т.д.).Ты бы не мог по подробнее рассказать об этом? как реализовать? А то я пока-что начинающий (1,3 года работаю админом. До всего самому приходится доходить).
>Ты бы не мог по подробнее
>рассказать об этом? как реализовать?Пример, для конфигурации W2K на рабочей станции. Снифер -Observer или NAI Sniffer Pro (IMHO лучший). В снифере настраиваем фильтр ловить пакеты только от адресов 255.255.255.255 и 0.0.0.0 (по этим адресам происходит поиск и ответы DHCP серверов). Включаем захват пакетов. Из командной строки W2K набираем
ipconfig /release
ipconfig /renew
(тем самым заставляем DHCP клиента W2K освободить адрес, а затем затребовать новый)
Для верности повторяем несколько раз.
Останавливеам захват пакетов в снифере и просматриваем буфер на предмет ответов серверов. Ответы все приходят с адреса 255.255.255.255, но внутри пакетов содержатся реальные адреса каждого сервера, который ответил на запрос.
Все!Дык Когда твой комп получает динамический IP он же тебе прямо говорит что DHCP сервер такой-то!!
А дальше дело техники.Проблема в том, что отвечает ближайший, т.е. тот, который у меня в соседней комнате стоит. Мой сервер. В других же участках сети может ответить левый сервер. Вот его надо отловить до того, как он юзерам раздаст левые ip-шники. И зарание, а не когда юзер позвонит со словами «у меня не работает». 🙁
А переодически класть свой сервер (сервис на сервере) и запускать на своей машине обновление ip-шника, что бы посмотреть нет ли кого ещё, тоже не лучший вариант.>Проблема в том, что отвечает ближайший,
Не совсем верно. Отвечают все сервера, которые услышали запрос. Это клиент на рабочей станции выбирает ближайшего
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.
- RE: Как найти в локальной сети DHCP-сервера, Ptica, 16:03 , 18-Мрт-02, (3)