Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
DHCP indirizzi duplicati
60 views
Skip to first unread message
Stefano L.
Nov 6, 2013, 3:55:00 AM11/6/13
to
Ciao.
Ieri sono andato da un cliente che lamentava frequenti blocchi/cadute di
connessioni tra i client e il server.
La struttura di rete e' semplice, un server, 10 client, uno switch, un
router adsl.
Ho scoperto praticamente subito il motivo: era stato installato un nuovo
router adsl (d-link) che rilasciava indirizzi dhcp nel range
192.168.0.100-200.
Indovinate un po' il server aveva indirizzo 192.168.0.100 e in piu' il
router aveva il wifi acceso e in modalita' aperta, senza password.
In pratica chiunque passasse di li con uno smartphone configurato per
connettersi alle reti aperte si beccava lo stesso indirizzo del server.
Infatti non appena ho collegato il mio portatile (linux) anche quello
si e' preso l'indirizzo 192.168.0.100 e tutte le connessioni aperte col
server sono cadute.
La domanda e' la seguente: Il protocollo DHCP non dovrebbe evitare di
acquisire indirizzi gia attivi sulla rete ?
In teoria il client, quando riceve l'offerta dell'indirizzo DHCPOFFER non
dovrebbe controllare se l'indirizzo e' gia' in uso con una arp request e nel
caso rifiutarlo con un DHCPDECLINE ?
--
Stefano L.
Ieri sono andato da un cliente che lamentava frequenti blocchi/cadute di
connessioni tra i client e il server.
La struttura di rete e' semplice, un server, 10 client, uno switch, un
router adsl.
Ho scoperto praticamente subito il motivo: era stato installato un nuovo
router adsl (d-link) che rilasciava indirizzi dhcp nel range
192.168.0.100-200.
Indovinate un po' il server aveva indirizzo 192.168.0.100 e in piu' il
router aveva il wifi acceso e in modalita' aperta, senza password.
In pratica chiunque passasse di li con uno smartphone configurato per
connettersi alle reti aperte si beccava lo stesso indirizzo del server.
Infatti non appena ho collegato il mio portatile (linux) anche quello
si e' preso l'indirizzo 192.168.0.100 e tutte le connessioni aperte col
server sono cadute.
La domanda e' la seguente: Il protocollo DHCP non dovrebbe evitare di
acquisire indirizzi gia attivi sulla rete ?
In teoria il client, quando riceve l'offerta dell'indirizzo DHCPOFFER non
dovrebbe controllare se l'indirizzo e' gia' in uso con una arp request e nel
caso rifiutarlo con un DHCPDECLINE ?
--
Stefano L.
ObiWan
Nov 6, 2013, 5:45:42 AM11/6/13
to
> La struttura di rete e' semplice, un server, 10 client, uno switch,
> un router adsl.
>
> Ho scoperto praticamente subito il motivo: era stato installato un
> nuovo router adsl (d-link) che rilasciava indirizzi dhcp nel range
> 192.168.0.100-200.
>
> Indovinate un po' il server aveva indirizzo 192.168.0.100
comunque cambia il range di indirizzi
> e in piu' il router aveva il wifi acceso e in modalita' aperta, senza
> password. In pratica chiunque passasse di li con uno smartphone
> configurato per connettersi alle reti aperte si beccava lo stesso
> indirizzo del server.
accedere alla rete ed alle eventuali risorse esposte o anche sfruttare
la connessione internet (anche per far danni e poi hai voglia
dimostrare che si è trattato di uno sconosciuto)
> La domanda e' la seguente: Il protocollo DHCP non dovrebbe evitare di
> acquisire indirizzi gia attivi sulla rete ?
solito usando ICMP echo o ARP) se un IP sia in uso o meno, ma la cosa
NON è obbligatoria
> In teoria il client, quando riceve l'offerta dell'indirizzo DHCPOFFER
> non dovrebbe controllare se l'indirizzo e' gia' in uso con una arp
> request e nel caso rifiutarlo con un DHCPDECLINE ?
indirizzo se vuole ma non ha l'obbligo di effettuare alcun tipo di
controllo sull'IP offerto dal server DHCP
Stefano L.
Nov 6, 2013, 6:06:54 AM11/6/13
to
ObiWan wrote:
> Beh... riconfigura il DHCP in modo da usare delle reservations o
> comunque cambia il range di indirizzi
Naturalmente, e' la prima cosa che ho fatto.
> Beh... riconfigura il DHCP in modo da usare delle reservations o
> comunque cambia il range di indirizzi
> e mica solo quello, con una config del genere chiunque potrebbe
> accedere alla rete ed alle eventuali risorse esposte o anche sfruttare
> la connessione internet (anche per far danni e poi hai voglia
> dimostrare che si è trattato di uno sconosciuto)
La terza è stato spiegare che il router era stato configurato alla membro di
segugio dal tennnico che lo aveva installato.
> Un server DHCP può essere configurato per tentare di verificare (di
> solito usando ICMP echo o ARP) se un IP sia in uso o meno, ma la cosa
> NON è obbligatoria
configurato.
> Uh ... no, il client non verifica proprio niente; può rifiutare un
> indirizzo se vuole ma non ha l'obbligo di effettuare alcun tipo di
> controllo sull'IP offerto dal server DHCP
esempio perche' a lui risulta gia' usato a seguito di una arp request.
Non capisco pero' se e' obbligato a fare tale verifica, io pensavo di si.
--
Stefano L.
ObiWan
Nov 6, 2013, 6:54:18 AM11/6/13
to
> > Un server DHCP può essere configurato per tentare di verificare (di
> > solito usando ICMP echo o ARP) se un IP sia in uso o meno, ma la
> > cosa NON è obbligatoria
> Non ho mai visto tale possibilita' sui vari router/firewall che ho
> configurato.
box Windows o Linux ... o cosa ? E cosa gira sui clients ? Mica per
altro ma sia nel caso del DHCP server implementato in Windows server,
sia in quello Linux (dhcpd) è prevista l'opzione per abilitare tale
funzionalità; del resto in una rete che abbia un server è normalmente
una buona idea fare in modo che il server funga da DHCP e DNS evitando
di appoggiarsi al router ed a DNS esterni
ObiWan
Nov 6, 2013, 6:56:38 AM11/6/13
to
> altro ma sia nel caso del DHCP server implementato in Windows server,
> sia in quello Linux (dhcpd) è prevista l'opzione per abilitare tale
http://linux.die.net/man/5/dhcpd.conf
"he DHCP server checks IP addresses to see if they are in use before
allocating them to clients. It does this by sending an ICMP Echo
request message to the IP address being allocated. If no ICMP Echo
reply is received within a second, the address is assumed to be free."
la stessa cosa (circa) vale anche per il server DHCP di Windows server;
ovvio che se poi su una rete uno installa un "XP" e lo chiama "server"
beh ... ognuno è libero di farsi male come preferisce :P
Stefano L.
Nov 6, 2013, 8:23:51 AM11/6/13
to
ObiWan wrote:
> Per curiosità... hai parlato di un "server" sulla rete; si tratta di un
> box Windows o Linux ... o cosa ?
Il server e' un linux SENZA alcun tipo di DHCP, l'unica oggetto sotto il mio
> Per curiosità... hai parlato di un "server" sulla rete; si tratta di un
> box Windows o Linux ... o cosa ?
controllo.
> E cosa gira sui clients ?
> del resto in una rete che abbia un server è normalmente
> una buona idea fare in modo che il server funga da DHCP e DNS evitando
> di appoggiarsi al router ed a DNS esterni
rete.
Ma se cosi non e', data l'abitudine dei vari operatori telefonici di
piazzare router con il dhcp abilitato, e' meglio lasciare che il server
(file o applicatico che sia) non offra il DHCP.
In ogni caso il punto non riguarda il server ma i client e il fatto che
questi controllino/non contrallino gli indirizzi ricevuti dal DHCP
--
Stefano L.
ObiWan
Nov 6, 2013, 8:49:39 AM11/6/13
to
> > Per curiosità... hai parlato di un "server" sulla rete; si tratta
> > di un box Windows o Linux ... o cosa ?
>
> Il server e' un linux SENZA alcun tipo di DHCP, l'unica oggetto sotto
> il mio controllo.
aggiornare il secondo ed il secondo in modo da fungere da resolver
ricorsivo *senza* uso di forwarders (usando i root-hints); assicurati
che DHCPD abbia la conflict resolution enabled, quindi disabilita il
DHCP ed il DNS nel router e blocca le queries DNS (porta 53 UDP e TCP)
in uscita sul router permettendole SOLO al server linux
> > del resto in una rete che abbia un server è normalmente
> > una buona idea fare in modo che il server funga da DHCP e DNS
> > evitando di appoggiarsi al router ed a DNS esterni
>
> Forse si, se tu hai il controllo completo di tutto quanto presente
> sulla rete.
> Ma se cosi non e', data l'abitudine dei vari operatori telefonici di
> piazzare router con il dhcp abilitato, e' meglio lasciare che il
> server (file o applicatico che sia) non offra il DHCP.
windows con ActiveDirectory e tutto il resto... ma vale ANCHE per
altre realtà; fare quanto scrivi sopra significa NON capire come
funzionano le cose o, peggio, far finta di non sapere :P !
> In ogni caso il punto non riguarda il server ma i client e il fatto
> che questi controllino/non contrallino gli indirizzi ricevuti dal DHCP
THe_ZiPMaN
Nov 6, 2013, 7:18:59 PM11/6/13
to
Stefano L. wrote:
>> Un server DHCP puᅵ essere configurato per tentare di verificare (di
controproducente che altro (stale records nel DB).
> Leggendo l'RFC mi par di capire che il client puo' rifiutare l'indirizzo, ad
> esempio perche' a lui risulta gia' usato a seguito di una arp request.
>
> Non capisco pero' se e' obbligato a fare tale verifica, io pensavo di si.
No, non ᅵ obbligatorio e di default non viene fatto... ci si fida
dell'IP dato dal dhcp, salvo dare conflitto ip in caso di problemi.
--
Flavio Visentin
Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
>> Un server DHCP puᅵ essere configurato per tentare di verificare (di
>> solito usando ICMP echo o ARP) se un IP sia in uso o meno, ma la cosa
>> NON ᅵ obbligatoria
>
> Non ho mai visto tale possibilita' sui vari router/firewall che ho
> configurato.
Di default i server dhcp non lo fanno, e farglielo fare ᅵ spesso piᅵ
> Non ho mai visto tale possibilita' sui vari router/firewall che ho
> configurato.
controproducente che altro (stale records nel DB).
> Leggendo l'RFC mi par di capire che il client puo' rifiutare l'indirizzo, ad
> esempio perche' a lui risulta gia' usato a seguito di una arp request.
>
> Non capisco pero' se e' obbligato a fare tale verifica, io pensavo di si.
dell'IP dato dal dhcp, salvo dare conflitto ip in caso di problemi.
--
Flavio Visentin
Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
ObiWan
Nov 7, 2013, 2:22:31 AM11/7/13
to
> > Non ho mai visto tale possibilita' sui vari router/firewall che ho
> > configurato.
> controproducente che altro (stale records nel DB).
beh dipende se hai una /24 secca senza VLAN o altra roba, attivare il
conflict detection non crea grossi problemi :)
Andrea B.
Nov 8, 2013, 6:09:59 AM11/8/13
to
Il 06/11/2013 12.56, ObiWan ha scritto:
> http://linux.die.net/man/5/dhcpd.conf
>
> "he DHCP server checks IP addresses to see if they are in use before
> allocating them to clients. It does this by sending an ICMP Echo
> request message to the IP address being allocated. If no ICMP Echo
> reply is received within a second, the address is assumed to be free."
Peccato che per default le macchine Win non rispondono agli ICMP echo.
> http://linux.die.net/man/5/dhcpd.conf
>
> "he DHCP server checks IP addresses to see if they are in use before
> allocating them to clients. It does this by sending an ICMP Echo
> request message to the IP address being allocated. If no ICMP Echo
> reply is received within a second, the address is assumed to be free."
ObiWan
Nov 8, 2013, 7:05:25 AM11/8/13
to
Andrea B.
Nov 8, 2013, 8:42:26 AM11/8/13
to
firewall.
Andrea B.
Nov 8, 2013, 8:47:52 AM11/8/13
to
ObiWan
Nov 8, 2013, 9:59:34 AM11/8/13
to
> >> Peccato che per default le macchine Win non rispondono agli ICMP
> >> echo.
> > Uh ? E da quando :) ?
> Ah non lo so, so che passo il tempo a modificare le impostazione del
> firewall.
NON filtra ICMP a meno che non vi sia una GPO che specifichi tale tipo
di filtraggio
Andrea B.
Nov 8, 2013, 10:35:42 AM11/8/13
to
ObiWan
Nov 8, 2013, 10:39:33 AM11/8/13
to
> > di default, il firewall su rete locale non filtra una mazza e
> > comunque NON filtra ICMP a meno che non vi sia una GPO che
> > specifichi tale tipo di filtraggio
> Si vede che sto sognando...
> http://technet.microsoft.com/it-it/library/cc749323%28v=ws.10%29.aspx
traffico su una rete riconosciuta come "affidabile" non viene filtrato
e questo vale anche per ICMP echo
Andrea B.
Nov 8, 2013, 10:50:35 AM11/8/13
to
che ho scritto. Magari 7 (ne tratto pochi) e 8 (pochissimi) non
presentano questo comportamento.
WiiUtiful Sky
Nov 16, 2013, 4:03:34 AM11/16/13
to
On Fri, 15 Nov 2013 23:16:23 +0100, Stefano L. wrote
(in article <l5d055$96b$1...@dont-email.me>):
> La domanda e' la seguente: Il protocollo DHCP non dovrebbe evitare di
> acquisire indirizzi gia attivi sulla rete ?
No. O meglio, si a patto che il server DHCP sia uno. Se ne hai due sulla
stessa subnet, o li fai operare su range di indirizzi differenti oppure
quello che ti e' accaduto e' assolutamente normale :)
--
Cristian Castellari - http://www.skyflash.it
Traduzione di Planescape Torment: http://www.skyflash.it/3446
PSN TAG: WiitifulSky
Nintendo ID: WiiUtifulSky
(in article <l5d055$96b$1...@dont-email.me>):
> La domanda e' la seguente: Il protocollo DHCP non dovrebbe evitare di
> acquisire indirizzi gia attivi sulla rete ?
stessa subnet, o li fai operare su range di indirizzi differenti oppure
quello che ti e' accaduto e' assolutamente normale :)
--
Cristian Castellari - http://www.skyflash.it
Traduzione di Planescape Torment: http://www.skyflash.it/3446
PSN TAG: WiitifulSky
Nintendo ID: WiiUtifulSky
delicelo...@gmail.com
Nov 23, 2013, 5:41:25 AM11/23/13
to
0 new messages