PersianAdmins - پیدا کردن DHCP سرورهای قلابی یا Rogue DHCP servers در شبکه

توجه :

"نقل تمام یا بخشی از مطالب سایت تنها با لینک به مطلب و معرفی نویسنده آن مجاز است"

"لطفا سوالات خود را در تالار سایت ( PAdmins.ir ) مطرح کنید"

"پشتیبانی تجاری : 09173129242- This email address is being protected from spam bots, you need Javascript enabled to view it "

پیدا کردن DHCP سرورهای قلابی یا Rogue DHCP servers در شبکه

نگارش یافته توسط رضا بهروزی

دوستانی که مبانی شبکه مانند کتاب Network+ را مطالعه کرده اند با شیوه IP گیری کلاینت ها آشنا هستند
این عمل در 4 مرحله رخ میدهد :

کلاینت یک بسته DHCP Discover بصورت BROADCAST میفرستد و درخواست IP میکند
DHCP سرورهای موجود که این پیغام را بشنوند با یک بسته DHCP Offer جواب میدهند
در این مرحله کلاینت ممکن است چندین پیشنهاد دریافت کرده باشد که به سروری که سریعتر جواب داده با یک بسته DHCPRequest جواب میدهد
DHCP سرور هم با یک پیغام ACK با درخواست موافقت میکند

گاها پیش میاید که مدیران شبکه مواجه با مواردی میشوند که کلاینت از سروری جز DHCP سرور مورد نظر آنها IP گرفته است , که معمولا دو حالت وجود دارد :

شخص خرابکاری یک DHCP سرور در شبکه قرار داده تا اطلاعات کلاینت ها را بدست آورد
بعضی دستگاها امروزه با DHCP سرور عرضه میشوند مانند مودم و روترهای ADSL که ممکن است فعال بوده و در شبکه اخلال ایجاد کند

به این گونه DHCP سرور ها در اصطلاح Rogue گفته میشود.

حال به شیوه پیدا کردن این DHCP سرور ها میپردازیم :

همونطور که در بالا شاره شد عملیات IP گیری از سوی کلاینت ها در 4 مرحله صورت میگیرد که ما برای پیدا کردن DHCP سرورها فقط به 2 مرحله ابتدایی نیاز داریم.
وقتی کلاینتی درخواست آدرس IP میکند تمام DHCP سرورهای موجود در شبکه به این درخواست پاسخ میدهند(مهرورزی میکنند!) و ما از این طریق میتوانیم سرور مورد نظر را پیدا کنیم.

ابزارهای گوناگونی برای این کار نوشته شده است ولی راحتترین این ابزارها DHCPLOC ساخته شرکت مایکروسافت میباشد که بصورت مجانی بهمراه CD یا DVD های ویندوز توزیع میشود.
برای نصب این ابزار کافیست از CD ویندوز به شاخه SUPPORT\TOOLS رفته و SUPTOOLS.msi را اجرا کنید
از این پس از طریق CMD می توانید از این ابزار استفاده کنید

DHCPLoc uses the following syntax:

dhcploc [/p] [/a:"AlertNameList"] [/i: AlertInterval] ComputerIPAddress [ValidDHCPServerList]

Parameters
/p:
Suppresses display of detected packets from any of the authorized DHCP servers specified in ValidDHCPServerList.
/a:"AlertNameList"
Sends alert messages to the names in AlertNameList if any unauthorized DHCP servers are found.
/i: AlertInterval
Specifies the alert frequency in seconds.
ComputerIPAddress
Specifies the IP address of the computer from which you are running Dhcploc. If the computer has multiple adapters, you must specify the IP address of the adapter that is connected to the subnet you want to test.
ValidDHCPServerList
Specifies the IP addresses of any number of authorized DHCP servers. The tool does not send alerts when it detects packets from the servers in this list; however, it displays those packets unless you specify the /p option.

برای نمونه کافیست این دستور را اینگونه استفاده کنید

dhcploc 192.168.0.1

حال با فشردن کلید D پیغامهای DISCOVER را بفرستید.
( 192.168.0.1 آدرس کارت شبکه ایست که میخواهیم از طریق آن IP بگیرد)

به شکل زیر توجه کنید

علامت "***" نشانه DHCP سرور unauthorized یا غیر معتبر میباشد.

برای مشاهده DHCP سرورهای authorized در شبکه در صورت استفاده از Active Directory از این دستور استفاده میکنیم

netsh dhcp show server

توجه:
از DHCPLOC بر روی DHCP سرور استفاده نکنید.

:||:: ارسال به دوست

نظرات (4)

1. شبكه اي با دو سرور DHCP ?
نوشته شده توسط علي دليران, روشن 27 مرداد 1387,ساعت 10:48:34
من با اي مشكل مواجه شده بودم يكي از اكسس پويت ها مشكل ايجاد كرده بود.
حال سوال من اين است اولا مرسوم هست در يك شبكه مثلا دو سرور DHCP باشند كه در دو رنج مختلف IP بدهند .
و اينكه چطور مي شود كه تنظيم كرد كلاينت ها از كدام DHCP خاص IP بگيرند.

از هم از مقاله خوبتون تشكر مي كنم .

گزارش

2. نوشته شده توسط پویا کوشنده - گرو , روشن 16 شهریور 1387,ساعت 05:49:43
سلام
در ابتدا از سایت بسیار خوبتان تشکر می کنم. امیدوارم که شما و بقیه دوستان تلاش کنیم که محتوای تخصصی آی تی در سطح اینترنت بیشتر شود.
موفق باشید.

گزارش

3. نوشته شده توسط عباد, روشن 14 مهر 1387,ساعت 10:51:08
salam. moshkeli dashtam ke mikhastam age momkene komakam konid. man tu sherkati ke kar mikonam 2 ta server darim ke dar hale hazer PC hastand mikhastam az server haie sisko estefade konam. solutioni be man pishnahad bedid ke betunam kari konam in 2 server ya besurat active ya be surat standby ba ham kar konand va age yeki az kar oftad servere digar jai gozin aan shavad. mikhastam client haiee ke be in server ha vasl mishan faghat 1 IP bebinand ruie in severha FTP & disk storag & activ directory & IAS nasb bashe baaiad chi kar konam ? moshkele backup giri ham az ettelaate in serverha daram .
09122706962 mamnoon montazer mimoonam

گزارش

4. نوشته شده توسط منصور, روشن 09 ارديبهشت 1388,ساعت 11:53:58
آقا دستت درد نکنه

گزارش

نوشتن نظر
نام:
ايميل:
صفحه اصلي:
عنوان:
BBCode:
نظر:
كد:*
	من اين نظر را دوستانه جهت تماس ارسال ميكنم