Jump to content

Ungewollter DHCP Server nicht identifizierbar


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

Wir haben ein verdammt komisches und nerviges Problem in unserem Netz.

 

Seit gestern spuckt irgendein DHCP im Netz rum und vergibt Adressen im 192.168.164.x range wir benutzen aber 10.70.10.x Adressen (Haben zu dem verschiedene VLANs aber es ist nur das .10.x VLAN betroffen.

 

Ich kann mit ipconfig /all die IP vom DHCP anzeigen lassen – 192.168.164.254 + DNS Server 192.168.164.1 aber Ich kann Sie weder mit:

 

Ping (no reply)

Tracert (Zeigt keine hops an)

Arp –a (kein Eintrag ….Physical mac adress – 00-00-00-00 usw. alles nur 0)

 

Identifizieren wo der DHCP herkommt noch wo er genau hockt – ca. 40 Rechner in dem VLAN

 

Mit dem tool DHCP Explorer kriege ich nur die Daten

 

DHCP Server (Steht weiter oben)

DNS Server (Steht weiter oben)

Subnet: 255.255.255.0

Domain: localdomain (ist nicht unsere domain)

 

Was tun ?? Wie würdet ihr vorgehen ??

 

Info: Gestern ist ein Main Switch (Cisco Catalyst) kurz ausgefallen und mehr oder weniger seit dem sehe ich das Problem auftreten aber switch läuft einwandfrei)

Link zu diesem Kommentar

Hallo, zuallererst, ich kenne keine Lösung für dein Problem.

Trotzdem hätt ich ein paar anregungen, die dich hoffentlich weiterbringen.

 

Ich würde ja einen rechner auf DHCP stellen, dort ethereal starten, und mal schaun ob man da nicht doch ne MAC oder so herkrigt.

 

Wenn ja die MAC hier suchen: http://standards.ieee.org/regauth/oui/oui.txt dan weißt du immerhin mal um welches Gerät es sich handelt.

 

die 254 hinten sieht, fals niemand absichtlich schaden anrichten will, allerdings nach switch aus.....

 

Als workaround würde mir noch einfallen per GPO eine "Deny 192.168.164.254" regel auszurollen <- is allerdings weder ne Lösung noch hübsch meiner Meinung nach....

 

guter tipp sind auch immer neue Access points, da gibts immer wieder böse default settings......

 

Hattest du Arpwatch laufen? fals ja solltest du im Arpwatch log die MAC Adresse des DHCP servers finden, was natürlich die identifizierung erleichtert.

 

 

Hope it helps

dadadum

Link zu diesem Kommentar

was ist denn dein normaler dhcp?

wenn dieser in active directory authorisiert ist, sollten deine domänen clients von keinem andern dhcp adressen annehmen

 

lass doch sonst mal den wireshark laufen. mit einem ipconfig /renew erzwingst du ein dhcp_offer von den dhcps und damit hast du mal seine mac adresse

... und die ersten bits geben dir im normalfall den hersteller an

 

LG

Link zu diesem Kommentar

Hallo sash_mich!

 

Du könntest evtl. versuchen mit einem Tool wie dem Scanner nmap mehr Informationen über den DHCP-Server herauszufinden, z. B. offene Ports, MAC-Adresse, Netzwerkkartenhersteller, Betriebssystem usw. (Optionen -sV und -O, soweit ich nicht irre). DHCP-Server ist 67/udp. Wenn ihr Cisco einsetzt kannst du ja (un)bequem per ACL die MAC am Switch sperren. :D

 

Vielleicht bringts dich ja ein Stück weit weiter!

 

VG Pinf

Link zu diesem Kommentar

Aloha,

 

Wie lautet der beste Satz der IT?

 

"Sind sie wirklich sicher?"

 

Denn ich würde die Behauptung nämlich als Falsch beurteilen

 

da kann ich nur sagen, der Kandidat hat 100% Recht ;).

 

Das ist ja genau das Problem der Autorisierung des DHCPs im AD. Im Prinzip ist der schuldige, der Windows Client. Denn dieser dürfte eben von keinem anderen DHCP-Server eine IP annehmen bzw. von keinem DHCP-Server, der nicht im AD autorisiert ist.

 

Und was macht unsern Windows -Client?

Richtig, er kümmert sich "nullinger" darum, WER ihm eine IP zuweißt. Genau da liegt das Problem.

Die Autorisierung schützt lediglich (wenn man das so sagen kann) das AD, das keine wildgewordenen DHCP-Server eben in einer AD-Domäne DHCP-Server sein dürfen.

 

Hängt man einen Router ins Netz, verteilt dieser wunderbar die IPs und die Suche nach dem Übeltäter kann losgehen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...