trovare il server dhcp duplicato
Quicker
mettiamo che io sia nella sottorete 1
cioe' tutti i computer client hanno indirizzo
192.168.1.x dove x va da 2 a 254
gli indirizzi ip sono assegnati da un server
DHCP (il 192.168.1.1) in maniera statica,
ossia in base al mac address dei client
registrato nel DHCP.
Si sta manifestando il seguente problema:
i client (parecchi, non sempre gli stessi, ed
in maniera casuale) non acquisiscono l'ip corretto;
sembra che lo prendano da un secondo server
DHCP fantasma. Questo provoca conflitti di ip, client che
non navigano in Internet ecc...
Eppure se da uno dei client che ha ottenuto
l'indirizzo ip "sbagliato", digito ipconfig /all
vedo che tutti i parametri sono corretti, il
dhcp e' corretto, il gateway anche. Questo
accade sia sui client windows che linux.
Come smascherare il presunto computer con il server DHCP ?
oppure c'e' un altro tipo di problema che mi sfugge ?
Forse un server DHCP che riesce di far credere
di essere quello principale.
Grazie e buon lavoro a tutti
slowhand
> oppure c'e' un altro tipo di problema che mi sfugge ?
> Forse un server DHCP che riesce di far credere
> di essere quello principale.
Se stacchi dalla lan il dhcp server "ufficiale" e rinnovi sui client
la richiesta dhcp cosa accade?
Daniele
Quicker
> la richiesta dhcp cosa accade?
Succede che i client rinnovano la propria configurazione
ip proprio come se fosse acquisita dal server DHCP vero.
Ossia l'indirizzo IP ed anche il MAC address del server
DHCP corrisponde a quello vero. Adesso disattivando dagli
switch i rami della rete a blocchi siamo riusciti ad
isolare la macchina presumibilmente infetta e la stiamo
controllando. Di fatto in prima battuta stupidamente
non mi ero accorto che il server DNS era stato alterato.
I DNS erano stati cambiati nei due seguenti:
69.42.88.21 e 69.42.88.22
Adesso guardo in Internet se trovo traccia di cosa sono
e cosa fanno questi due DNS. Insomma il problema sembra
risolto, salvo che non siano state infettate altre
macchine; stiamo monitorando
Quicker
> macchine; stiamo monitorando
Nulla di fatto; l'infezione continua, forse
il problema e' piu' esteso, ci sono parecchi
client il cui DNS e' stato mutato nei due
seguenti:
69.42.88.21 e 69.42.88.22
mentre dovrebbero essere ben diversi
Macs
Quicker ha scritto:
>
> Nulla di fatto; l'infezione continua, forse il problema e' piu'
> esteso, ci sono parecchi client il cui DNS e' stato mutato
Come puoi leggere p.es. su http://bryan-free.blogspot.com/ , e' anche
plausibile che vi sia una sola macchina infetta, che stia agendo da
Rogue DHCP server & stia effettuando il DNS poisoning sulla rete.
Ergo, oltre a controllare le attivita' DHCP di rete & lo stato di +/-
infezione dei singoli client, una volta appurata la rimozione del trojan
dalla LAN devi comunque effettuare su tutte le macchine ripetuti flush
della cache dns & release/renew DHCP.
A quel punto puoi procedere :
==
1. Disabilitando eventualmente il caching DNS locale sui client, in modo
da forzarli ad effettuare sempre/comunque le query DNS -> una tale
scelta dipende ovviamente dalle dimensioni del parco client & dal
carico delle relative attivita' Intranet/Internet.
2. Consentendo a livello di firewall centralizzato le query DNS (TCP/UDP
53) da parte dei client solo verso gli IP dei vostri server DNS
ufficiali (aziendali o del provider).
--
|Ż \/Ż | /Ż\ /Ż__/Ż__|<|> *FAX/Mail Server : +39 - 02700426582 <|
|Ż|\/|Ż|/Ż_Ż\|(__\__ \<|> *Casella Vocale : +39 - 0230312251 <|
|_| |_/_/ \_\___|___/<|> *FAQ ITGF http://plany.fasthosting.it <|
|>- RST - Plany/MACS -<|> *FAQ GCN http://faq.news.nic.it/ ____<|