IP конфликт

[NeekoLife]

Господа системные администраторы есть у меня страшная проблема с которой не знаю как бороться. В большой сетке кто то ставит IP адрес сервера, получается IP конфликт и сервер падает. Может кто сталкивался должны же быть инструменты для борьбы с подобными намереныыми вредителями?

[Infernal Flame]

NeekoLife
Есть отличная штука DHCP с привязкой по МАКу, а потом с запретом в политиках на смену адреса. И усё.... Если сетка большая, то думаю AD должен быть...

[Raven]

+ можно фаерволом прикрыть серверу доступы на 68 порт всем, кроме dhcp-сервера.

А найти злыдня можно. Wireshark и ей подобный софт вам в помощь - запустите ее на пару суток и посмотрите кто рассылает обьявления DHCP-сервера.

[Phantom]

Ну есть вариант попроще на самом деле.

arpwatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog. Используется как один из инструментов для борьбы с ARP-spoofing'ом.

Демон анализирует ARP-ответы на сетевом интерфейсе, к которому он привязан, и запоминает соответствие IP-адресов и MAC-адресов. Как только он видит, что соответствие нарушено, или обнаруживает появление новых адресов в сети, он сообщает об этом в системный журнал (syslog).
Подробнее http://xgu.ru/wiki/arpwatch
Ставится элементарно...без каких либо задвижек. Настрой ему свою почту и он будет слать тебе отчеты на почту.)))

Ну а если у тебя появился посторонний DHCP тут есть способ поинтереснее.
Скажу честно...это не моё решение. Но по моему гениально и просто.
Лови

Код: Выделить всё

 Конкретная ситуация.
Пул у DHCP-сервера .0.100 - .0.240
Клиентские машины получают адреса отличные от заданного диапазона. Одна из проблем может крыться в том, что в сети существует еще один DHCP, который также раздает адреса. Конечно, при условии, что он находится в другой подсети, иначе, вероятнее всего, будет достаточно много веселых историй про бесов в сети.

Короче, делаем так:
# cd /var/lib/dhcp3/(тут возможно просто dhcp)
# mc

Там выбираем последний созданный файл и жмем F3. Нас интересует строка:
option dhcp-server-identifier <ip адрес>;

Это и будет адрес dhcp-сервера, который вызывает проблему. Осталось только его найти... :)

Блин ну а вообще дабы не латать абы что закрой на свитчах прохождение пакетов к пользователям на 68 порт UDP как было предложено выше. Разрешения делай по маку сервера. Уж надеюсь этот мудак мак не подделал...
Подробнее тебе поможет это http://ru.wikipedia.org/wiki/DHCP
Короче способов для творчества вал)))
Удачи в ловле мышей.

[NeekoLife]

шикарно ребят. Arpwatch попробую прямо сегодня. Но каким образом закрытие 68 порта на свиче поможет решить вопрос, если можно по подробней?

[NeekoLife]

+ можно фаерволом прикрыть серверу доступы на 68 порт всем, кроме dhcp-сервера.

А найти злыдня можно. Wireshark и ей подобный софт вам в помощь - запустите ее на пару суток и посмотрите кто рассылает обьявления DHCP-сервера.

как то я помню WireSharkом искал вирусный трафик. очень уж эта программулька грузит сетку

[Infernal Flame]

NeekoLife
DHCP работает в диапазоне 67-69 портов по tcp/udp. Могу с диапазоном ошибиться...
вот только меня несколько настораживает вариант того, что некорректно закрытые порты могут как отрубить злоумышленника, так и главный серв. Т.е. надо очень вдумчиво рисовать политики...

[NeekoLife]

Ну есть вариант попроще на самом деле.



Ну а если у тебя появился посторонний DHCP тут есть способ поинтереснее.
Скажу честно...это не моё решение. Но по моему гениально и просто.
Лови

Код: Выделить всё

 Конкретная ситуация.
Пул у DHCP-сервера .0.100 - .0.240
Клиентские машины получают адреса отличные от заданного диапазона. Одна из проблем может крыться в том, что в сети существует еще один DHCP, который также раздает адреса. Конечно, при условии, что он находится в другой подсети, иначе, вероятнее всего, будет достаточно много веселых историй про бесов в сети.

Короче, делаем так:
# cd /var/lib/dhcp3/(тут возможно просто dhcp)
# mc

Там выбираем последний созданный файл и жмем F3. Нас интересует строка:
option dhcp-server-identifier <ip адрес>;

Это и будет адрес dhcp-сервера, который вызывает проблему. Осталось только его найти... :)

не DHCP другого нету. Есть файловик в локалке со статическим айпи и кто то в самые важные моменты намеренно его роняет. потом nmapом смотрю что за комп держит этот айпи каждый раз разный - хитер спуфер. вот я и думаю какое то системное решение найти

[NeekoLife]

хотя конешно есть DHCP на других шлюзах, но у них же другие подсети они не могут раздать этот айпи

[Infernal Flame]

NeekoLife
Если ИП статический, то может имеет смысл еще посмотреть кто в это время логинился на машину? ну типа вредитель сначала убеждается, что глобальный пистес замутит и тут же выставляет у себя ИП сервака....
А так - лучшее решение это запрет смены ИПов в политиках... типа "ибо нех"...