Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: pokus 05. 08. 2014, 10:28:39

Název: Nalezení DHCP serveru který ničí síť
Přispěvatel: pokus 05. 08. 2014, 10:28:39
Dobrý den,

ve firmě máme síť s cca 100 zařízeními (kabel, wifi), kdy zařízení dostávájí IP adresu z DHCP serveru podle mac adres zařízení. Poslední dobou se uživatelum windows stává, že se nemůžu připojit na internet. Mě ale na linuxu vše funguje bez problémů. Napadlo mě, že windows má nastaven jiný timeout pro požadavek na nocou ipadresu z DHCP serveru. Proto mě napadlo, jestli náhodou někdo nebo něco nemá zapnuté další dhcp, které by přiřadilo jiné ip adresy klientským počítačúm. Moje otázka zní jak toto zjistit? Ikdyž jsem se při onom výpadku snažil dostat novou ipadresu pomocí dhclient tak se mi to nepovedlo. Ideální by bylo sledovat chování na síťi třeba pomocí třeba tcpdump a omezit to jen na ipadresy DHCP. Když na serveru který přiřazuje IPadresy restertuju DHCP server tak vše funguje. Máte s tím prosím nějaké zkušenosti? Případně zkušenosti co může spolehlivě ničit síť?
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Dzavy 05. 08. 2014, 10:41:38
A co zprovoznit na switchi DHCP snooping a nastavit trusted port jen ten, kde je oficialni DHCP server?
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: pokus 05. 08. 2014, 11:04:14
Nj jenže to bych musel mít administrovatelný switch, což nemám :-/
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Kolemjdoucí 05. 08. 2014, 11:15:03
Najít duplicitní DHCP server je s Wiresharkem otázka 1 minuty a rovnou se zjistí MAC adresa. Též je přitom možné prověřit, zda stávající DHCP server funguje správně.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: j 05. 08. 2014, 11:20:26
Nj jenže to bych musel mít administrovatelný switch, což nemám :-/
Coz bys pri 100 zarizenich v siti rozhodne mit mel, a nejen kvuli dhcp. Jinak viz vejs, ovsem najit to fyzicky = obejit a prosacovat celou firmu, protoze nezjistis na kterym portu je to pripojeny.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Fantomas 05. 08. 2014, 12:03:44
Nejakej zmetek zapojil zarizeni, ktere nema ve firme co delat nebo na nejakem routeru prehodil zapojeni. Pokud ti v praci projde nekolika sekundove vypnuti site, tak staci zjistit ip a pri pingu vypinej na par sekund jednotlive casti site, tak se dostanes ke konkretnimu switchi a na nem pak budes odpojovat jednotlive porty. Neni to sice vubec idealni ale stoprocentne ucinne. Pokud tohle nemuzes, tak si vypni firemni dhcp server a na svem kompu musis dostat ip od toho zmetka, tim zjistis jeho ip a zkus se na nej napojit pres http, mozna pujde deaktivovat.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Dzavy 05. 08. 2014, 12:43:16
Nejakej zmetek zapojil zarizeni, ktere nema ve firme co delat nebo na nejakem routeru prehodil zapojeni. Pokud ti v praci projde nekolika sekundove vypnuti site, tak staci zjistit ip a pri pingu vypinej na par sekund jednotlive casti site, tak se dostanes ke konkretnimu switchi a na nem pak budes odpojovat jednotlive porty. Neni to sice vubec idealni ale stoprocentne ucinne. Pokud tohle nemuzes, tak si vypni firemni dhcp server a na svem kompu musis dostat ip od toho zmetka, tim zjistis jeho ip a zkus se na nej napojit pres http, mozna pujde deaktivovat.
Cas a oser stravenej timhle podle me v pohode zaplati nakup poradnych switchu :)
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: brk 06. 08. 2014, 08:30:47
On hlavně neví, jestli tam ten další DHCP server má. Z toho co je napsáno, jsem akorát pochopil, že se mu to chová divně a občas něco nedostane adresu. Stejnou paseku mi to kdysi dělalo, jak jeden switch odcházel. Všechno fungovalo víceméně normálně, jen občas nějaké zařízení nedostalo adresu.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: udiv 06. 08. 2014, 08:36:20
To je az neskutecna prasarna. Jako firma s cca 100pc teda cca 100 zamestnanci nema na management switche kdyz jeden 24p (combo sfp) se da poridit jiz od 8t? Jako takovou sit provozovat jen tak na obyc switchich!? Chtel bych byt u vas na siti a pustit vam tam nejakyho "previta" to by byla sranda. Protoze zadna separace provozu vlany proste nic se sto pc - no proste mazeec. Skutecne me to po ranu sokovalo!
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: udiv 06. 08. 2014, 08:44:59
On hlavně neví, jestli tam ten další DHCP server má. Z toho co je napsáno, jsem akorát pochopil, že se mu to chová divně a občas něco nedostane adresu. Stejnou paseku mi to kdysi dělalo, jak jeden switch odcházel. Všechno fungovalo víceméně normálně, jen občas nějaké zařízení nedostalo adresu.

Toto chovani muze byt zpusobeno cimkoliv, ale samotna lokalizace bez vlanu, dhcp snoopingu, ip source guardu je temer nadlidsky vykon. Kdyz budeme predpokladat 8-16p obyc switch na 100pc, tak to je obejit minimalne 6-12 switchu. U vsech zkontrolovat porty a trafa. A to jeste nikdo nevime jak ma postaven dhcp server, jestli neni problem v nem. Napr errory na rozhrani, dump dhcp requestu atp. Proste tazateli neco nejde sam nevi co. Nedostane ip cko a jelikoz se o tuto cinnost stara dhcp server tak usoudil - je to dhcp server!
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: FrantaA 06. 08. 2014, 11:45:04
On hlavně neví, jestli tam ten další DHCP server má. Z toho co je napsáno, jsem akorát pochopil, že se mu to chová divně a občas

Toto chovani muze byt zpusobeno cimkoliv, ale samotna lokalizace bez vlanu, dhcp snoopingu, ip source guardu je temer nadlidsky vykon. Kdyz budeme predpokladat 8-16p obyc switch na 100pc, tak to je obejit minimalne 6-12 switchu. U vsech zkontrolovat porty

Co je to proti hledani problemu na koaxialnich rozvodech, zvlaste kdyz jedinym hardwarovym testerem byl Avomet  :-). Zakladni metodou bylo postupne puleni segmentu, coz ovsem vyzadovalo lezení po vselijakych zakoutich, vraceni se atd.; a to ty rozvody byly na EAD zasuvkach.
V danem pripadne se da postupovat podobně, ale opravdu by to chtelo (v prvni fazi aspon jeden) poradny switch - coz si takhle  od kamose nejaky vypujcit :-)? Jinak bych tipnul bud na zavadu, nedetekovanou duplicitu IP adres nebo falesny DHCP server (treba o tom jeho vlastnik ani nevi - to si jeden chtel protahnout Ethernet do vzduchu, k cemuz pouzil bezny domaci wifi router v roli bridge/AP, tj. pripojil Ethernet do jeho "vnitrni" site; nic proti tomu, jenomze on zapomnel vypnout DHCP server a bylo to).
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Josef Karliak 06. 08. 2014, 12:38:39
Jeste dalsi vec - kdyz ctu, ze mas tolik PC a bez managementu, nezapomen na limit poctu switchu za sebou, pokud to mas stylem mistnost se switchem, pak do dalsi mistnosti se switchem, ...
Ale je pravda, ze pokud vypnes dhcp server a nekdo ma jiny, tak ty se chytnes i na ten jinej nebo ti to system pise, z jakeho dhpc serveru si vzal IP (u widli "ipconfig /all"). Pripadne si pust wireshark a odpozoruj si par packetu, at uz vidis co se deje...
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: JardaP . 06. 08. 2014, 12:43:01
Mozna byste mel zacit tim, ze odchytite nejakeho toho widlackeho klienta, ktery se nemuze dostat na Internet a podivate se, jakou ma pridelenou adresu a jakou ma nastavenou gateway a DNS server. Jestli si tam treba nejaky pytlik pripojil nejaky router nebo ADSL modem, aby si vyrobil soukrome wifi nebo neco a nevypl na tom DHCP server, tak vam default gateway a asi i DNS reknou rovnou, jakou ma to zarizeni ip adresu. Pokud ne, tak aspon muzete zkouknot, jestli nastaveni vypada normalne, jako by ho nastavil vas DHCP server nebo ne. Tedy napriklad jestli je adresa z vaseho DHCP poolu, jestli je spravny DNS server....
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: pokus 06. 08. 2014, 14:07:54
To je celkem problém.... Když odchytnu někoho komu net nechodí a podívám se na jeho ip adresu a bránu přes kterou je připojen tak je vše ok.Když z toho pc dám ping brány tak v pohodě pingám ale když chci pingnout ven třeba seznam tak to nefičí... Sranda je že toto se děje jen na windows já na Linuxu ve stejné síti fičím bez problému a lezu na stránky kde jsem v životě nebyl a funguje to.... Když restartnu dhcp server tak to začně chodit i windows uživatelům proto mě to dohlalo na myšlenku duálního dhcp.... JAký je limit switchů za sebou? Pravda že jich pár za sebou máme ale nebude to moc.... Každopádně dnes mám přichystaný dhcpdump a monitoruju chování dhcp v síti jenže jak na potvoru dnes všem funguje internet jak má :-/
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: samalama 06. 08. 2014, 14:26:09
a nemoze byt problem niekde uplne inde? napr. router ma uz plnu tabulku spojeni a pod.

btw, nic v zlom, ale ako admin 100+ pc by si mal vsetko, co sa tu spominalo uz davno ovladat, a aj ako prve urobit...
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Jimm 06. 08. 2014, 14:36:52
Já mám hlavně dojem, že pán celou dobu řešil DHCP, ale v posledním příspěvku zmínil, že ten komu nejde připojení ven má od DHCP všechny údaje OK... Tak to se potom těžko něco řeší, že.  ;D To zase k serveru zapomněli do krabice přibalit admina.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: monitor 06. 08. 2014, 14:59:31
Drahy "hokus" pokus, you should "focus" :-)
Citujem: "Když odchytnu někoho komu net nechodí a podívám se na jeho ip adresu a bránu přes kterou je připojen tak je vše ok.Když z toho pc dám ping brány tak v pohodě pingám ale když chci pingnout ven třeba seznam tak to nefičí..."

A ked chces pingnut seznam, tak napises:

ping seznam.cz

alebo

ping 77.65.72.3

??

Ono to mozno skor vyzera na problem s DNS servermi...

teda, ja mam taku skusenost, ze napriklad, ludia, ktory pouzivali nejake VPN (Shrewsoft VPN?), tak ak ho korektne nevypli, tak im to (aj po restarte) sice dalo IP adresu, ale DNS server ostal zly - lebo bol nejako napevno nastaveny (na ten z VPN).

Aj ked, asi to nie je presne tvoj problem, ale musis to podrobnejsie popisat...


Inak, Google je aj tvoj priatel :-)

Treba vediet detaily...
A ty ich vies/mas vediet najviac, a uz len debugovat...

Nie su nahodou problemy len s Windows notebookmi?

Mozno ziskali nejaku podobnu sukromnu IP adresu doma, a prebudili sa vo firme, a su s tym nejake problemy...

http://support.microsoft.com/kb/167014/en-us
Napriklad, aby sa tomu predislo, co tak pouzivat vo firme nejaky iny rozsah (10.x.y.z, ci 172.x.y.z.) namiesto beznych, domaich, privatnych rozsahov (192.x.y.z)

Zameraj sa na:
1. notebooky (ak su problemy opakovatelne, na tych istych strojoch s Windowsami, tak pouzi
   netsh dhcpclient trace enable
a veci s tym suvisiace...
http://technet.microsoft.com/en-us/library/cc731630(v=ws.10).aspx
)
2. linuxakov (nemaju DHCP server? )
3. Windows servery (nebezi tam DHCP server?, v nejakom dual boote?)


Ako zdetekovat DHCP servery? A oskenovat siet?
nmap!!!

http://nmap.org/nsedoc/scripts/dhcp-discover.html

alebo este lepsie:
http://nmap.org/nsedoc/scripts/broadcast-dhcp-discover.html

sudo nmap --script broadcast-dhcp-discover

vela zdaru...
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: JardaP . 06. 08. 2014, 16:02:15
Když odchytnu někoho komu net nechodí a podívám se na jeho ip adresu a bránu přes kterou je připojen tak je vše ok.Když z toho pc dám ping brány tak v pohodě pingám ale když chci pingnout ven třeba seznam tak to nefičí... Sranda je že toto se děje jen na windows já na Linuxu ve stejné síti fičím bez problému a lezu na stránky kde jsem v životě nebyl a funguje to....

Pingal jste seznam nebo jste zkousel i ping na jeho ip? To, ze vam nejde ping na jmeno, jeste neznamena, ze nemate konektivitu. Mozna se vam jen neprekladaji jmena, protoze Widle sice maji vsechno dobre, ale nastaveni DNS serveru jste nezkontroloval. A dival jste se, jak mate nastavene DNS na Linuxu? Co kdyz tam mate adresu nejakeho serveru natvrdo a uz jste na to zapomnel. Ja treba pouzivam natvrdo nastaveny server a na server z DHCP dlabu, navic mam caching DNS server. Takze mi to chodi, i kdyz DHCP DNSserver nedoda.

Takto to vypada, ze namisto ilegalniho, undergroundoveho, piratskeho DHCP serveru budete resit problemy s DNS.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Hasim Ali 19. 08. 2014, 23:38:46
Nějaký pokrok :-)?
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Lol Phirae 19. 08. 2014, 23:43:37
Nějaký pokrok :-)?

Ne, asi už je zcela odříznut záplavou rogue DHCP serverů...  ;D ;D ;D
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: TKL 20. 08. 2014, 10:25:07
Myslím, že tady nikdo nezmínil tuto variantu:

ipconfig /all

v CMD na některém z postižených strojů.

Pokud opravdu nějaký cizí DHCP server v síti běží a rozdeluje adresy, zjistí tak jeho IP adresu a bude mít jasno v tom, jakým směrem se v pátrání ubírat.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Mirek Prýmek 20. 08. 2014, 12:02:57
zjistí tak jeho IP adresu a bude mít jasno v tom, jakým směrem se v pátrání ubírat.
A jak přesně zjistí ten "směr", když nemá inteligentní switche? :)
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Raw 20. 08. 2014, 12:07:24
Da "tracert IP" a to ho uz snad niekam dovedie
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Mirek Prýmek 20. 08. 2014, 12:11:02
Da "tracert IP" a to ho uz snad niekam dovedie
Traceroute mu bude hodne platny, kdyz je to na stejnym segmentu :)
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: j 20. 08. 2014, 16:18:45
Zepta se tech trposu co behaj po tech dratech s paketama....

Pamatuju 500+m dlouhy segmenty na SH ;D, to bylo podobny. Vyzadovalo to znalosti (predevsim kde vede kabel z patra do patra), dostatek asertivity, a clovek moh vyrazit na 100 podzimnich/zimnich ci jarnich kilometru po dotcenem bloku s terminatorem v ruce. Vetsinou nez dosel z jednoho konce na druhej, moh zacit znova ;D.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: TKL 21. 08. 2014, 10:17:31
A jak přesně zjistí ten "směr", když nemá inteligentní switche? :)

No hlavně získá jistotu, zda je ten problém opravdu způsoben tím, že mu v síti běží cizí DHCP server. Což dle původního dotazu neví, jen se to domnívá.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: Mirek Prýmek 21. 08. 2014, 12:27:24
No hlavně získá jistotu, zda je ten problém opravdu způsoben tím, že mu v síti běží cizí DHCP server. Což dle původního dotazu neví, jen se to domnívá.
To je lepší periodicky kontrolovat automaticky než s tím haluzit ručně. Např. nagios check_dhcp. Ten falešný DHCP server taky nemusí být v činnosti pořád.
Název: Re:Nalezení DHCP serveru který ničí síť
Přispěvatel: JardaP . 21. 08. 2014, 14:42:58
Bych to tady uz neresil. Puvodniho tazatele asi sezrali medvedi, ze se odmlcel, tak tu akorat varite z vody.