Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге
Иногда при разборе чужой сети требуется определить насколько правильно работает сеть и нет ли там чужих DHCP серверов.
Делается это довольно просто. Для этого можно использовать небольшую утилиту RogueChecker.
Скачиваем, запускаем, видим такое окошко:
Нажимаем кнопку «Detect Rogue Servers» и в верхнем окне получаем список всех серверов, которые отозвались.
Если же клиентский компьютер был введен в домен, то список авторизованных серверов появится в нижней части окна.
После первого поиска все найденные DHCP серверы будут считаться неизвестными. Утилита не сверяет найденные серверы со списком авторизованных в AD.
Если поставить галочку в столбце «Valid DHCP Servers» напротив нашего правильного сервера, то программа будет его считать авторизованным, и больше не будет рисовать красный кружочек с восклицательным знаком около него. Это сделано для удобства просмотра и поиска «левых» DHCP серверов в сети. Иконка в трее меняется, если обнаружен неизвестный DHCP сервер:
Также программу можно использовать для автоматического вылавливания периодически появляющихся DHCP серверов.
Для этого надо зайти во вкладку Configuration и установить настройки, как часто делать поиск DHCP серверов. В данном примере я поставил проверку на каждые 5 минут.
Также в этом окне можно выбрать через какие сетевые карты делать поиск серверов (при условии, что сетевых карт несколько в этом компьютере).
Источник
Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.
- Remove From My Forums
-
Вопрос
-
День добрый! Сегодня в сети (которая разделена циской на виланы) неверно клиенты стали получить адреса DNS серверов. Причем все остальные параметры — маска, гатевей, винсы, айпи клиента получаются правильные. Результат — недоступен домен
и сетевые ресурсы. САМОЕ ИНТЕРЕСНОЕ: DHCP-сервер, с которого получены настройки на клиентов — именно сетевиков, не левый. Сетевики говорят, что у них на оборудовании все ОК и никакого второго DHCP они на цисках не поднимали. На мой
вопрос, почему все параметры их, включая адрес DHCP-сервера, а только DNS неправильный, отвечают: а это потому что левый DHCP назначил DNS неверный, а остальное — может с нас получает? Разве такое может быть? И может ли
быть такое, что у клиента в ipconfig горит адрес их DHCP сервера, а настройки с другого сервера на самом деле?Спасибо.
Ответы
-
и скажите сетевикам чтобы включили на цисках dhcp snooping — очень полезная штука и никаике левые dhcp серверы уже не проскочат
-
Предложено в качестве ответа
16 ноября 2013 г. 6:32
-
Помечено в качестве ответа
Dmitriy RazbornovEditor
17 ноября 2013 г. 16:01
-
Предложено в качестве ответа
Иногда при разборе чужой сети требуется определить насколько правильно работает сеть и нет ли там чужих DHCP серверов.
Делается это довольно просто. Для этого можно использовать небольшую утилитку RogueChecker (см. аттач). Автор ее Subhash Badri. Основную страничку с утилитой можно посмотреть тут, скачать утилиту тут.
Скачиваем, запускаем, видим такое окошко:
Нажимаем кнопку «Detect Rogue Servers» и в верхнем окне получаем список всех серверов, которые отозвались.
Если же клентский компьютер был введен в домен, то список авторизованных серверов появится в нижней части окна.
После первого поиска все найденные DHCP серверы будут считаться неизвестными. Утилита не сверяет найденные серверы со списком авторизованных в AD.
Если поставить галочку в столбце «Valid DHCP Servers» напротив нашего правильного сервера, то программа будет его считать авторизованным, и больше не будет рисовать красный кружочек с восклицательным знаком около него. Это сделано для удобства просмотра и поиска «левых» DHCP серверов в сети. Иконка в трее меняется, если обнаружен неизвестный DHCP сервер:
Также программу можно использовать для автоматического вылавливания периодически появляющихся DHCP серверов.
Для этого надо зайти во вкладку Configuration и установить настройки, как часто делать поиск DHCP серверов. В данном примере я поставил проверку на каждые 5 минут.
Также в этом окне можно выбрать через какие сетевые карты делать поиск серверов (при условии, что сетевых карт несколько в этом компьютере).
Маршрутизаторы Mikrotik позволяют вычислить чужой, «левый», сторонний DHCP-сервер который находится в вашей сети и тем самым мешает вашим устройствам получать правильные IP-адреса. Такая ситуация может возникнуть, когда клиент, например, подсоединил свой домашний роутер не через WAN порт, а через LAN-порты, а ваша сеть не ориентированна на изоляцию клиента (VLANs, EoIP/VPLS Tunnels, Horizon Bridging/Private VLAN Edge(PVE)). Для этого в RouterOS существует настройка /ip dhcp-server alert:
Добавляем правило, с отсылкой на выполнения скрипта script1:
interface — интерфейс, на котором искать не легитимные DHCP-сервера;
valid-server — список МАС-адресов ваших легитимных DHCP-серверов;
alert-timeout — таймаут обнаружения чужих DHCP-серверов. Если параметр не заполнить (сделать не активным) — скрипт выполнится один раз при обнаружении. Это важный параметр, заполнять его нужно исходя из DHCP Lease Time вашей сети. Если у вас Lease Time стоит 12 часов, то alert-timeout можно сделать 1-2 часа. Вероятность того, что чужой сервер раздаст между этими периодами адреса минимальна. Если Lease Time то и alert-timeout нужно уменьшить. Но, если вы будете при обнаружении «левого» DHCP отправлять e-mail, то сильно уменьшенное время в alert-timeout приведет к спаму на ваше «мыло» до того момента, пока «левый» сервер не пропадет.
unknown-server — список МАС-адресов обнаруженных неизвестных серверов DHCP. Сервер будет удален из этого списка после тайм-аута.
on-alert — сценарий для запуска, если неизвестный сервер DHCP обнаружен;
reset-alert — не выведен в интерфейс WinBox, доступен с командной строки. Команда /ip dhcp alert reset-alert очищает список всех найденных «левых» DHCP-серверов.
Если DHCP Alerts не может получить dhcp-пакет, он действует как dhcp-клиент и посылает пакеты DHCP Discover раз в минуту. В on-alert можно добавлять как сам скрипт, так и ссылку на него в виде названия скрипта в /system script.
Но наша задача при появлении «левого» DHCP-сервера отсылать уведомление на e-mail. Что-бы на «мыло» приходило не только оповещение, но и IP, интерфейс на котором найден и MAC-адрес чужого DHCP-сервера. Для этого скрипт нужно писать напрямую в окне on-alert, так как там мы будем использовать спец-переменные. Проблема в том, что оператором get данные с DHCP Alerts получить нельзя (проблема микротиковцам известна). Итак, напишем скрипт в on-alert:
В пункте Unknown Server видно MAC-адрес «левого» сервера. Alert Timeout стоит тестовые 10 секунд, обычно это значение у меня 1 час. Интерфейс может быть как реальный, так и бридж. Значение Valid Servers заполняем нашими легитимными DHCP-серверами, так как у меня он только один (мое текущее устройство), то заполняем MAC с нашего интерфейса.
Сам скрипт:
/tool e-mail send server=10.10.10.10 port=25 user=admin@ya.ru password=111111 start-tls=yes to=»admin@ya.ru» from=admin@ya.ru subject=(«DHCP Alert: Discovered unknown dhcp-server, RouterBoard identity: «.[/system identity get name]) body=»MikroTik have been detected unknown dhcp-server: nnIP: $address nInterface: $interface nMAC: quot;mac-address»»;
/log info «e-mail send unknown dhcp-server»
После появления в сети чужого DHCP-сервера раз в заданное время опроса скрипт будет выполнятся, в это время будут писаться записи в терминал и лог журнал:
Последняя запись в логе инициализированная скриптом. Ну и само письмо будет иметь такой вид:
Как видим в тему письма подтягиваются название роутера (идентификатор). А в тело — IP, интерфейс обнаружения и MAC-адрес чужого DHCP-сервера. Письма будут отсылаться через промежуток времени указанный в Alert Timeout, до того момента, пока DHCP-сервер не пропадет или вы его не найдете.
Используемые материалы:
|
Подписаться на новые статьи. |
  
|
Маршрутизаторы Mikrotik позволяют вычислить чужой, «левый», сторонний DHCP-сервер который находится в вашей сети и тем самым мешает вашим устройствам получать правильные IP-адреса. Такая ситуация может возникнуть, когда клиент, например, подсоединил свой домашний роутер не через WAN порт, а через LAN-порты, а ваша сеть не ориентированна на изоляцию клиента (VLANs, EoIP/VPLS Tunnels, Horizon Bridging/Private VLAN Edge (PVE)). Для этого в RouterOS существует настройка /ip dhcp-server alert:
Добавляем правило, с отсылкой на выполнения скрипта script1:
interface — интерфейс, на котором искать не легитимные DHCP-сервера;
valid-server — список МАС-адресов ваших легитимных DHCP-серверов;
alert-timeout — таймаут обнаружения чужих DHCP-серверов. Если параметр не заполнить (сделать не активным) — скрипт выполнится один раз при обнаружении. Это важный параметр, заполнять его нужно исходя из DHCP Lease Time вашей сети. Если у вас Lease Time стоит 12 часов, то alert-timeout можно сделать 1−2 часа. Вероятность того, что чужой сервер раздаст между этими периодами адреса минимальна. Если Lease Time то и alert-timeout нужно уменьшить. Но, если вы будете при обнаружении «левого» DHCP отправлять e-mail, то сильно уменьшенное время в alert-timeout приведет к спаму на ваше «мыло» до того момента, пока «левый» сервер не пропадет.
unknown-server — список МАС-адресов обнаруженных неизвестных серверов DHCP. Сервер будет удален из этого списка после тайм-аута.
on-alert — сценарий для запуска, если неизвестный сервер DHCP обнаружен;
reset-alert — не выведен в интерфейс WinBox, доступен с командной строки. Команда /ip dhcp alert reset-alert очищает список всех найденных «левых» DHCP-серверов.
Если DHCP Alerts не может получить dhcp-пакет, он действует как dhcp-клиент и посылает пакеты DHCP Discover раз в минуту. В on-alert можно добавлять как сам скрипт, так и ссылку на него в виде названия скрипта в /system script.
Но наша задача при появлении «левого» DHCP-сервера отсылать уведомление на e-mail. Что-бы на «мыло» приходило не только оповещение, но и IP, интерфейс на котором найден и MAC-адрес чужого DHCP-сервера. Для этого скрипт нужно писать напрямую в окне on-alert, так как там мы будем использовать спец-переменные. Проблема в том, что оператором get данные с DHCP Alerts получить нельзя (проблема микротиковцам известна). Итак, напишем скрипт в on-alert:
В пункте Unknown Server видно MAC-адрес «левого» сервера. Alert Timeout стоит тестовые 10 секунд, обычно это значение у меня 1 час. Интерфейс может быть как реальный, так и бридж. Значение Valid Servers заполняем нашими легитимными DHCP-серверами, так как у меня он только один (мое текущее устройство), то заполняем MAC с нашего интерфейса.
Сам скрипт:
/tool e-mail send server=10.10.10.10 port=25 user=admin@ya.ru password=111 111 start-tls=yes to=»admin@ya.ru» from=admin@ya.ru subject=(«DHCP Alert: Discovered unknown dhcp-server, RouterBoard identity: „.[/system identity get name]) body=»MikroTik have been detected unknown dhcp-server: nnIP: $address nInterface: $interface nMAC: quot;mac-address“»;
/log info «e-mail send unknown dhcp-server»
После появления в сети чужого DHCP-сервера раз в заданное время опроса скрипт будет выполнятся, в это время будут писаться записи в терминал и лог журнал:
Последняя запись в логе инициализированная скриптом. Ну и само письмо будет иметь такой вид:
Как видим в тему письма подтягиваются название роутера (идентификатор). А в тело — IP, интерфейс обнаружения и MAC-адрес чужого DHCP-сервера. Письма будут отсылаться через промежуток времени указанный в Alert Timeout, до того момента, пока DHCP-сервер не пропадет или вы его не найдете.
Используемые материалы:
Upd
рабочий скрипт:
——————————————
/tool e-mail send from=»mail@gmail.com» server=smtp.gmail.com to=mail@mail.ru subject=(«DHCP Alert: Discovered unknown dhcp-server, RouterBoard identity: „.[/system identity get name]) body=»MikroTik have been detected unknown dhcp-server: nnIP: $address nInterface: $interface nMAC: $»mac-address“»;
/log info «e-mail send unknown dhcp-server»