Dhcdrop - блокування сторонніх DHCP-серверів у мережі
Що тішить - це те, щоdhcdrop є в портах. Виконаємо установку:
Відзначимо також коди виходу програми (сподіваюся, що всі читачі "дружать" з англійською мовою):
0 - Exit success. Ilegal DHCP сервер не має інформації.10 - invalid user ID. Ви повинні root for running programm.20 - failed to set signal handler.30 - configuration error. See usage.40 - Memory allocation error. Insufficient memory?50 - error opening ethernet device.51 - error listing devices.60 - pcap filter overflow.70 – pcap compile error.80 – pcap set filter error.90 - error sending packet.100 - error getting packet.110 - set non blocked mode error.120 - invalid device.200 - ilegal DHCP сервер був заснований.
Відповідно, підберемо наступні ключі для запускуdhcdrop на інтерфейсіvlan51 :
Приклад роботиdhcdrop :
#dhcdrop -y -r -m 3
Використовуючи interface: 'vlan51' Got response from server 192.168.85.65 (IP-header 192.168.85.65), server ethernet address: B0:48:7A:F0:47:1C, lease time: 0.083 4>Гот BOOTREPLY (DHCPOFFER) для клієнта другий: FE:FE:FE:FE:FE:00 Ви IP: 192.168.85.68/26 1. Got BOOTREPLY (DHCPACK) для клієнта ще: FE:FE:FE:FE:FE:00 You IP: 192.168.85.68/26 2. Got BOOTREPLY (DHCPACK) для клієнта другий: FE:FE:FE:FE:FE:01 You IP: 192.168.85.69/26 3. Got BOOTREPLY (DHCPACK) для клієнта другої: FE:FE:FE:FE:FE:02 You IP: 192.168.85.70/26 4. Got BOOTREPLY (DHCPACK) для клієнта ще: FE:FE:FE:FE:FE:03 You IP: 192.168.85.71/26 5. Got BOOTREPLY (DHCPACK) для клієнта ще: FE:FE:FE:FE:FE:04 You IP: 192.168.85.72/26 Interrupted. Quit.
Також варто відзначити деякі моменти роботи зdhcdrop :
Отже, проблему відновлення працездатності нелегальних серверів не вирішено. Як варіант - запускdhcdrop з певною періодичністю, використовуючи cron . Однак зручніше використовувати наступний скрипт:
Для коректної роботи скрипта необхідно створити каталог, куди писатимуться логи:
Після цього додамо вcron запуск скрипту кожні 10 хвилин. У мене шлях до скрипту/usr/local/etc/dhcdrop.sh, відповідно:
#echo '# DHCDROP' >> /etc/crontab #echo '*/10 * * * * root /bin/sh /usr/local/etc/dhcdrop.sh > /dev/null 2&1' >> /etc/crontab
Після цього "забуваємо" про сторонні DHCP-сервери в некерованих сегментах мережі. Однак у зловмисника ще залишаються деякі лазівки: