Jump to content
Sign in to follow this  
sash_mich

Ungewollter DHCP Server nicht identifizierbar

Recommended Posts

Hallo Leute,

 

Wir haben ein verdammt komisches und nerviges Problem in unserem Netz.

 

Seit gestern spuckt irgendein DHCP im Netz rum und vergibt Adressen im 192.168.164.x range wir benutzen aber 10.70.10.x Adressen (Haben zu dem verschiedene VLANs aber es ist nur das .10.x VLAN betroffen.

 

Ich kann mit ipconfig /all die IP vom DHCP anzeigen lassen – 192.168.164.254 + DNS Server 192.168.164.1 aber Ich kann Sie weder mit:

 

Ping (no reply)

Tracert (Zeigt keine hops an)

Arp –a (kein Eintrag ….Physical mac adress – 00-00-00-00 usw. alles nur 0)

 

Identifizieren wo der DHCP herkommt noch wo er genau hockt – ca. 40 Rechner in dem VLAN

 

Mit dem tool DHCP Explorer kriege ich nur die Daten

 

DHCP Server (Steht weiter oben)

DNS Server (Steht weiter oben)

Subnet: 255.255.255.0

Domain: localdomain (ist nicht unsere domain)

 

Was tun ?? Wie würdet ihr vorgehen ??

 

Info: Gestern ist ein Main Switch (Cisco Catalyst) kurz ausgefallen und mehr oder weniger seit dem sehe ich das Problem auftreten aber switch läuft einwandfrei)

Share this post


Link to post

Das Tool DHCPLoc aus den Support-Tools hilft Dich auch nicht weiter?

 

Hört sich so an, als ob da irgendein SOHO Router oder dgl. eingenistet hat.

 

Christoph

Share this post


Link to post

Hallo, zuallererst, ich kenne keine Lösung für dein Problem.

Trotzdem hätt ich ein paar anregungen, die dich hoffentlich weiterbringen.

 

Ich würde ja einen rechner auf DHCP stellen, dort ethereal starten, und mal schaun ob man da nicht doch ne MAC oder so herkrigt.

 

Wenn ja die MAC hier suchen: http://standards.ieee.org/regauth/oui/oui.txt dan weißt du immerhin mal um welches Gerät es sich handelt.

 

die 254 hinten sieht, fals niemand absichtlich schaden anrichten will, allerdings nach switch aus.....

 

Als workaround würde mir noch einfallen per GPO eine "Deny 192.168.164.254" regel auszurollen <- is allerdings weder ne Lösung noch hübsch meiner Meinung nach....

 

guter tipp sind auch immer neue Access points, da gibts immer wieder böse default settings......

 

Hattest du Arpwatch laufen? fals ja solltest du im Arpwatch log die MAC Adresse des DHCP servers finden, was natürlich die identifizierung erleichtert.

 

 

Hope it helps

dadadum

Share this post


Link to post

evtl. auch eine Printbox ... so verrückt es klingt ... es gibt Printserver die defaultmäßig einen DHCP Server laufen haben

Share this post


Link to post

was ist denn dein normaler dhcp?

wenn dieser in active directory authorisiert ist, sollten deine domänen clients von keinem andern dhcp adressen annehmen

 

lass doch sonst mal den wireshark laufen. mit einem ipconfig /renew erzwingst du ein dhcp_offer von den dhcps und damit hast du mal seine mac adresse

... und die ersten bits geben dir im normalfall den hersteller an

 

LG

Share this post


Link to post

Oder VMware Workstation? Kollege hat mal die VM-DHCP-Einstellungen so umgefrickelt, dass er damit ein LAN bedient hat, gab mächtig Ärger ;-)

 

Gruß Pusi

Share this post


Link to post

wenn dieser in active directory authorisiert ist, sollten deine domänen clients von keinem andern dhcp adressen annehmen

LG

 

Wie lautet der beste Satz der IT?

 

"Sind sie wirklich sicher?"

 

 

Denn ich würde die Behauptung nämlich als Falsch beurteilen

 

 

Gruß MacBoon

Share this post


Link to post

Hallo sash_mich!

 

Du könntest evtl. versuchen mit einem Tool wie dem Scanner nmap mehr Informationen über den DHCP-Server herauszufinden, z. B. offene Ports, MAC-Adresse, Netzwerkkartenhersteller, Betriebssystem usw. (Optionen -sV und -O, soweit ich nicht irre). DHCP-Server ist 67/udp. Wenn ihr Cisco einsetzt kannst du ja (un)bequem per ACL die MAC am Switch sperren. :D

 

Vielleicht bringts dich ja ein Stück weit weiter!

 

VG Pinf

Share this post


Link to post

Aloha,

 

Wie lautet der beste Satz der IT?

 

"Sind sie wirklich sicher?"

 

Denn ich würde die Behauptung nämlich als Falsch beurteilen

 

da kann ich nur sagen, der Kandidat hat 100% Recht ;).

 

Das ist ja genau das Problem der Autorisierung des DHCPs im AD. Im Prinzip ist der schuldige, der Windows Client. Denn dieser dürfte eben von keinem anderen DHCP-Server eine IP annehmen bzw. von keinem DHCP-Server, der nicht im AD autorisiert ist.

 

Und was macht unsern Windows -Client?

Richtig, er kümmert sich "nullinger" darum, WER ihm eine IP zuweißt. Genau da liegt das Problem.

Die Autorisierung schützt lediglich (wenn man das so sagen kann) das AD, das keine wildgewordenen DHCP-Server eben in einer AD-Domäne DHCP-Server sein dürfen.

 

Hängt man einen Router ins Netz, verteilt dieser wunderbar die IPs und die Suche nach dem Übeltäter kann losgehen.

Share this post


Link to post
Wie lautet der beste Satz der IT?

 

"Sind sie wirklich sicher?"

 

 

Denn ich würde die Behauptung nämlich als Falsch beurteilen

 

 

Gruß MacBoon

Jo, das ist nicht richtig ... Microsoft DHCP-Server starten nicht, wenn sie nicht authorisiert sind und verteilen dann natürlich auch keine Adressen. Dem Client ist das egal ...

Share this post


Link to post

@ITHome

 

Du musst den Zusammenhang schon herstellen ;).

Macboon bezog sich auf diese Aussage von firefox80

 

wenn dieser in active directory authorisiert ist, sollten deine domänen clients von keinem andern dhcp adressen annehmen

Share this post


Link to post

War auch so gedacht, aber das Zitat von McBoon wird nicht in meinem Zitat übernommen, das war mir mal wieder entfallen :D und kontrolliert hab ich´s auch nicht :rolleyes:

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...