免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 27609 | 回复: 121

DHCP 的讨论(iptables 对其无效?) [复制链接]

论坛徽章:
0
发表于 2005-07-14 15:29 |显示全部楼层
环境:一个宿舍楼层,一台 Linux 做 NAT,带十几台电脑,一个普通HUB,大家集资购买

因为网络中有非法 DHCP 服务器,影响了大家正常 IP 分配(估计是有人用VMWARE),我想了一个方法来找出那个电脑

  1. [root@platinum root]# tcpdump -e -i eth1 -nn port 67 -c 4 2>;&1|awk '/bootp/{print $2" -->; "$3}'
  2. 0:a:e6:a9:64:a2 -->; ff:ff:ff:ff:ff:ff
  3. 0:e0:4c:39:6d:96 -->; 0:a:e6:a9:64:a2
  4. 0:a:e6:a9:64:a2 -->; ff:ff:ff:ff:ff:ff
  5. 0:e0:4c:39:6d:96 -->; 0:a:e6:a9:64:a2
  6. [root@platium root]#
复制代码

原理是听包,找到那个电脑的 MAC,因为 IP 一般人都会改的,MAC 不一定
用这个方法找出他的 MAC,然后在 NAT 机器上面禁止掉他

前提:因为资金问题,不能购买带管理的交换,因此仅从技术方面分析,帮助那些无助的朋友们分析解决问题

论坛徽章:
0
发表于 2005-07-14 15:36 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

在听包的时候能不能只抓DHCPOFFER的包并显示出来?这样的话更容易来找一点

论坛徽章:
0
发表于 2005-07-14 15:41 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

[quote]原帖由 "河里的鱼"]在听包的时候能不能只抓DHCPOFFER的包并显示出来?这样的话更容易来找一点[/quote 发表:

我还没想到什么好的办法,网络中的数据太多了,用端口来过滤是肯定的
上面的方法,我选择了 67 端口,因为 dhcp-server 用 UDP/67,dhcp-client 用 UDP/68
如果自己不做 dhcp-server,用上面的方法没有问题,而且抓到的包很少

如果说“更容易一些”,可能也就这样最容易了吧

论坛徽章:
0
发表于 2005-07-14 15:45 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

呵,有一个思路:

    在客户机请求选用的时候会发一个包
     0.0.0.0/68 ---  255.255.255.255/67
    只来捕捞这一个数据包,而且相对来说审视会不会更容易一点呢?

不知道有没有错解的地方?

论坛徽章:
0
发表于 2005-07-14 15:49 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

原帖由 "河里的鱼" 发表:
呵,有一个思路:

    在客户机请求选用的时候会发一个包
     0.0.0.0/68 ---  255.255.255.255/67
    只来捕捞这一个数据包,而且相对来说审视会不会更容易一点呢?

不知道有没有错解的地方?

client IP 应该是自己的才对
这个思路倒是可以,不过传输是双向的,大概他们之间要有 2 去 2 回共 4 个包
如果单向的话,也有 2 个

论坛徽章:
0
发表于 2005-07-14 15:51 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

嗯,想不到什么了,关注此帖

论坛徽章:
0
发表于 2005-07-14 16:31 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

我就觉得ipconfig/all得到dhcp server的ip,改成一个网段就可以得到mac了.我觉得这样比较方便^_^

我一般这么解决,有时顺便也用nmap扫一下看看是个什么设备,是windows 就对其135,139等 syn-flood,如果是公司生产的设备就ssh上去关掉dhcp(可以不管该设备在哪里).

论坛徽章:
0
发表于 2005-07-14 16:32 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

直接superscan扫描DHCP的port可以么?

论坛徽章:
0
发表于 2005-07-14 16:35 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

记不清了,我记得dhcp该是在链路层上广播的啊.不过好象封装成udp了.
感觉扫udp应该扫不到吧.

论坛徽章:
0
发表于 2005-07-14 16:55 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

[quote]原帖由 "starwater"]直接superscan扫描DHCP的port可以么?[/quote 发表:

欢迎讨论:)
具体说说看?

另外由这个,引发了我又一个问题
根据 RFC 2131 的内容,我在 DHCP 服务器上封掉了 UDP/67,但 client 仍然可以通过我获取 IP
又做了一个试验,干脆 service iptables stop,然后 iptables -P INPUT DROP,之后发现 client 依然可以获取 IP,很是奇怪

大家说说这是怎么回事
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP