Доступна новая версия dhcdrop 0.5 - программы подавления ложных DHCP серверов

18.08.2009 04:09

Программа dhcdrop предназначена для тестирования DHCP серверов при их настройке, и отслеживания или подавления ложных DHCP серверов в сетях провайдеров. Подавление серверов осуществляется при помощи атаки DHCP starvation.

Основные нововведения в версии 0.5:

добавлен агрессивный режим позволяющий получать IP адреса присвоенные ранее другим клиентам при помощи отправки сообщений DHCPRELEASE от адреса этих клиентов. Данная возможность позволяет исправить IP адреса хостам успевшим получить неверную конфигурационную информацию от ложного DHCP сервера до его подавления или отключения. Подробности.
добавлена возможность отправки DHCPRELEASE от произвольных Ethernet & IP адресов клиентов для обеспечения возможности вручную "очищать" пул DHCP сервера.
добавлена возможность ARP сканирования произвольной локальной подсети через указанный интерфейс независимо от IP конфигурации интерфейса и настроек маршрутизации. Используется для определения наличия клиентов успевших получить неправильные конфигурационные наборы данных от ложного DHCP сервера.
добавлена возможность вводить MAC адрес используя в качестве разделителя октетов дефис. Ранее в качестве разделителя можно было использовать только двоеточие.
добавлена возможность сборки в OpenBSD, NetBSD, DragonFlyBSD, Mac OS.
добавлены MAN-файлы на русском и английском языках.

исправить +5 +/–

Автор новости: RomanCh

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/23070-dhcp

Ключевые слова: dhcp

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (10)

1.1, Hamelion (ok), 05:53, 19/08/2009 [ответить]	+/–
Прикольно, но кто мешает воспользоваться этим против провайдера ))))

2.2, BSA (?), 13:20, 19/08/2009 [^] [^^] [^^^] [ответить]	+/–
Никто. Вот только у провайдера в договоре обычно запрещено делать подобное. Поэтому, если вычислят, будет плохо.

2.3, RomanCh (ok), 14:27, 19/08/2009 [^] [^^] [^^^] [ответить]	+/–
Мешает привязка MAC->IP которая существует у провайдеров использующих DHCP и дающих нормальную локальную сеть.

3.4, Arti (??), 14:51, 19/08/2009 [^] [^^] [^^^] [ответить]	+/–
Проще не давать больше скажем 3 маков на порту клиента. Или, что правильнее, вязать IP по 82 опции. В принципе, если схема 1 порт - 1 клиент и привязка по 82 опции, то такая атака не пройдет.

4.5, RomanCh (ok), 15:02, 19/08/2009 [^] [^^] [^^^] [ответить]	+/–
Совершенно согласен. Но как написано в самом начале статьи - данная тулза расчитана в перую очередь на сети в которых мало управляемого оборудования. В случае если все клиенты воткнуты в "умное" железо - проблема с ложными DHCP серверами вообще решается проще и правильнее при помощи DHCP snooping.

5.6, Arti (??), 16:13, 19/08/2009 [^] [^^] [^^^] [ответить]	+/–
Да не нужен снупинг для подавления :)

6.7, RomanCh (ok), 16:21, 19/08/2009 [^] [^^] [^^^] [ответить]	+/–
Не нужен, не нужен, можно и простую фильтрацию по маске сделать. Но это одно из его назначений: http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configura http://xgu.ru/wiki/DHCP_snooping

7.8, Arti (??), 16:41, 19/08/2009 [^] [^^] [^^^] [ответить]

+/–

Ох отползли мы от темы...

дхсп-снупинг при схеме 1 клиент - 1 порт становится избыточным. Он нужен когда скажем в порт управляемого свича воткнут неуправляемый (под неуправляемым свичем я понимаю оборудование которым МЫ не можем управлять).

и в http://xgu.ru/wiki/DHCP_snooping для наглядности нехватает "еще одной коробочки" :) между хостами и sw1 на корой нет снупинга и которой мы не может управлять. Или sw1 должен быть неуправляемым.

1.9, Аноним (-), 09:56, 20/08/2009 [ответить]	+/–
а зачем в схеме 1 клиент-1порт вообще дхцп? нельзя ли написать ацл на мак этого клиента?

2.10, Arti (??), 15:34, 20/08/2009 [^] [^^] [^^^] [ответить]	+/–
Это частично снимет проблему безопасности, но не ошибки при ручной настройки, и необходимость настройки как таковой.

Добавить комментарий

Текст: