Биллинговая система Nodeny

Главная категория => Общий раздел => Тема начата: versus от 14 Июля 2009, 11:28:23



Название: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 14 Июля 2009, 11:28:23
Предлагаемая вашему вниманию программа dhcdrop обеспечивает поиск сторонних DHCP-серверов и их подавление путем исчерпания пула IP-адресов (DHCP starvation). Например,

sudo dhcdrop -i eth1 -y -l 00:11:22:33:44:55
проводит "зачистку" с интерфейса eth1, не трогая "легальный" сервер с маком 00:11:22:33:44:55 и снося все живое без лишних вопросов (-y).


http://www.netpatch.ru/dhcdrop.html


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 14 Июля 2009, 11:31:13
Думаю, что это хорошее решение для связки модуля nomake.pl + dhcp сервер + dhcdrop для подавления дхцсп серверов злоумышленников.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: goletsa от 14 Июля 2009, 17:17:27
Прикольно.
Надо будет взять на заметку.
А то я по старинке тупо отрубаю порт такого абонента ;)


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: elite от 17 Июля 2009, 16:24:00
А что делать с "левыми" PPPoE серверами?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: goletsa от 18 Июля 2009, 15:32:02
Если используется L2 оборудование то по маку сервера находите порт и убиваете его.
Но сторонние пппое сервера очень редко бывают.
Сталкивался с  таким только при замыкании двух сетей...
DHCP ж всетаки чаще.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 19 Августа 2009, 12:36:24
Состоялся релиз dhcdrop 0.5, программы для подавления нелегальных dhcp серверов в сети. Новинки этой версии:

    * добавлен агрессивный режим: смотрите man-файл. (опция -L);
    * добавлена возможность отправки DHCPRELEASE от произвольных Ethernet & IP адресов клиентов для обеспечения ручной "очистки" пула DHCP сервера;
    * добавлена возможность ARP сканирования произвольной локальной подсети через указанный интерфейс независимо от IP конфигурации интерфейса и настроек маршрутизации. Используется для определения наличия клиентов успевших получить неправильные конфигурационные наборы данных от нелегального DHCP сервера;
    * добавлена возможность вводить MAC адрес используя в качестве разделителя октетов дефис (Ранее в качестве разделителя можно было использовать только двоеточие);
    * несколько изменён формат вывода информации: добавлен вывод сетевой маски присваиваемой DHCP сервером в CIDR нотации; ethernet адрес найденного сервера указывается только при его обнаружении;
    * добавлен "тихий" режим - вывод на экран минимума информации;
    * добавлена возможность сборки в OpenBSD, NetBSD, DragonFlyBSD, Mac OS;
    * добавлены man-файлы на русском и английском языке.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Cell от 20 Августа 2009, 19:01:42
Очень прогрессивная вещь! Сколько я мозга истратил из-за этих сучих левых dhcp от неправильно включенных роутеров. Это жуть. Страшный сон системного администратора будем надеяться закончился. Я у себя поставил проверку в автоматическом режиме по крону и доволен как слон.
Автору огромное спасибо!


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Andrey Zentavr от 09 Сентября 2009, 12:56:31
Для djcpdrop использую следующий скрипт:
Код:
#!/usr/local/bin/bash

# (c) 2009, Andrey Zentavr
# To use this software, please install port from /usr/ports/net-mgmt/dhcdrop
# Or download port tarball from http://www.freebsd.org/cgi/cvsweb.cgi/ports/net-mgmt/dhcdrop/dhcdrop.tar.gz?tarball=1
# and unpack it into /usr/ports/net-mgmt/dhcdrop

# Legal DHCP Serverz, space separated mac address
LEGAL_SERVERS="00:15:17:b8:f9:1e 00:15:17:b8:f9:1f 00:1b:21:21:83:d5"
#              gw1:em0+vlan***   gw1:em1           nodeny:em0

DROPPER="/usr/local/sbin/dhcdrop"
IFNAME="em0 vlan10 vlan30" # Interfaces on our Router, space separated
PARAMS="-t -m 3"

# Lets Go!
# legal params
for mac in ${LEGAL_SERVERS}; do
    LMAC="${LMAC} -l ${mac}"
done

#echo ${LMAC}

# Discovering on every interface
for IF in ${IFNAME}; do
echo "Processing interface ${IF}"
# test to any DHCP-Server
${DROPPER} -i ${IF} ${LMAC} ${PARAMS}

# Check for status 200
if [ $? = 200 ]; then
    echo "Illegal server found on ${IF}! Dropping him!"
    ${DROPPER} -i ${IF} ${LMAC} -y
else
    echo "Illegal server not found on ${IF}."
fi
done

echo "All done"


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Unix от 11 Октября 2009, 22:58:32
ну как?  работает? кто то уже ставил себе такое чудо?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Cell от 12 Октября 2009, 01:40:29
Я поставил и забыл. Даже не знаю... работает оно или нет )) Раз в 30 минут кроном запускается. Все что могу сказать. Никто больше не беспокоит )


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Unix от 12 Октября 2009, 21:59:31
а где ты скачал эту программу и как её установить на Фрю?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Andrey Zentavr от 13 Октября 2009, 20:20:13
В моём скрипте вроде написана почти прямая ссылка. :)


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: VitalVas от 14 Октября 2009, 16:53:44
а где ты скачал эту программу и как её установить на Фрю?
для ленивых
Код:
/usr/ports/net-mgmt/dhcdrop


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Tech от 29 Октября 2009, 22:16:10
программа просто замечательная  :)
выполняет свои задачи на 100%


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: blackjack от 10 Ноября 2009, 11:58:46
А как быть если клиенты получаю адреса используя cisco как релей? Между клиентом и dhcp сервером стоит циска-маршрутизатор.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 10 Ноября 2009, 12:15:19
А как быть если клиенты получаю адреса используя cisco как релей? Между клиентом и dhcp сервером стоит циска-маршрутизатор.

в конфиге для кого написано :

# Legal DHCP Serverz, space separated mac address
LEGAL_SERVERS="00:15:17:b8:f9:1e 00:15:17:b8:f9:1f 00:1b:21:21:83:d5"


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: blackjack от 10 Ноября 2009, 13:28:39
Это немного не то.
Клиенты в одном сегменте сети, а dhcdrop запускается в другом. Сети разделены маршрутизатором cisco.
Вот как работает dhcp relay на циске.

Цитировать
Relay agents are used to forward requests and replies between clients and servers when they are not on the same physical subnet. Relay agent forwarding is distinct from the normal forwarding of an IP router, where IP datagrams are switched between networks somewhat transparently. Relay Agents receive Dynamic Host Configuration Protocol (DHCP) messages and then generate a new DHCP message to send out on another interface.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 10 Ноября 2009, 13:48:17
Цитировать
dhcdrop запускается в другом

это мы конечно должны были узнать телепатически? в любом случае dhcdrop должн быть там где идут запросы от пользователей а не там где мы эти запросы отпроксировали и обрабатываем.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: blackjack от 10 Ноября 2009, 13:58:48
Да причем здесь телепатические спопобности,

я вот полагал что после этой фразы будет понятно

Цитировать
Между клиентом и dhcp сервером стоит циска-маршрутизатор.

значит мне пока эта прога не поможет.



Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: blackjack от 10 Ноября 2009, 13:59:54
я имел ввиду что и dhcdrop запускется на dhcp сервере


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 11 Ноября 2009, 10:40:36
Я ж говорю телепатически должны были узнать что твой дхцп сервер там же где ты запускаешь дхцпдроп!


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: mefer от 14 Ноября 2009, 14:18:32
А что мешает добавить в ядро поддержку VLAN и прокинуть все сети в виде виртуальных сетей на DHCP сервер.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Unix от 14 Ноября 2009, 16:04:09
А что мешает добавить в ядро поддержку VLAN и прокинуть все сети в виде виртуальных сетей на DHCP сервер.

И что нам это даст?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: goletsa от 14 Ноября 2009, 16:06:48
А что мешает добавить в ядро поддержку VLAN и прокинуть все сети в виде виртуальных сетей на DHCP сервер.

И что нам это даст?
dhcp сервер будет в одной сети с клиентами


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Gray от 17 Июня 2010, 16:39:31
Устанавливаем dhcdrop:
cd /usr/ports/net-mgmt/dhcdrop
make install clean

Настройка автоматического запуска:
ee /usr/local/etc/rc.d/dhcdrop.sh

Вставляем следующий скрипт предоставленый Andrey Zentavr - правим под свои нужды

#!/usr/local/bin/bash

# (c) 2009, Andrey Zentavr
# To use this software, please install port from /usr/ports/net-mgmt/dhcdrop
# Or download port tarball from http://www.freebsd.org/cgi/cvsweb.cgi/ports/net-mgmt/dhcdrop/dhcdrop.tar.gz?tarball=1
# and unpack it into /usr/ports/net-mgmt/dhcdrop

# Legal DHCP Serverz, space separated mac address
LEGAL_SERVERS="00:15:17:b8:f9:1e 00:15:17:b8:f9:1f 00:1b:21:21:83:d5"
#              gw1:em0+vlan***   gw1:em1           nodeny:em0

DROPPER="/usr/local/sbin/dhcdrop"
IFNAME="em0 vlan10 vlan30"         # Interfaces on our Router, space separated
PARAMS="-t -m 3"

# Lets Go!
# legal params
for mac in ${LEGAL_SERVERS}; do
    LMAC="${LMAC} -l ${mac}"
done

#echo ${LMAC}

# Discovering on every interface
for IF in ${IFNAME}; do
   echo "Processing interface ${IF}"
   # test to any DHCP-Server
   ${DROPPER} -i ${IF} ${LMAC} ${PARAMS}
   
   # Check for status 200
   if [ $? = 200 ]; then
       echo "Illegal server found on ${IF}! Dropping him!"
       ${DROPPER} -i ${IF} ${LMAC} -y
   else
       echo "Illegal server not found on ${IF}."
   fi
done

echo "All done"


Выставляем права на чтение:
chmod 500 /usr/local/etc/rc.d/dhcdrop.sh

Прописываем в кронтаб системы для периодического запуска, в данном примере каждые 30 минут
ee /etc/crontab
0,30 * * * * /usr/local/etc/rc.d/dhcdrop.sh   #dhcdrop - средство для поиска и подавления сторонних DHCP-серверов


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Unix от 26 Июня 2010, 13:39:36
А к ноудени есть модуль по управлению и мониторингу dhcpdrop ?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: stix от 26 Июня 2010, 13:44:43
А к ноудени есть модуль по управлению и мониторингу dhcpdrop ?
а смысл его в биллинге?
что он будет там выполнять


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 26 Июня 2010, 20:50:11
ну как что, модуль к нодени будет просто стоить денег. Пожалуй на этом его функциональная обязанность заканчивается...


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Андрій от 03 Октября 2010, 15:57:12
в мене чомусь не може заблокувати один dhcp сервер в мережі, він видає по кругу одні й ті самі ір, якщо я не помиляюсь це роутер dir-300, з цим можна щось зробити ?


Код:
[root@localhost /etc]# sh dhcdrop.sh
Processing interface xl1
DHCP SRV: 192.168.4.22 (IP-hdr: 192.168.4.22) SRV ether: 00:24:01:AE:84:FB, YIP: 192.168.4.105
Illegal server found on xl1! Dropping him!
Using interface: 'xl1'
Got response from server 192.168.4.22 (IP-header 192.168.4.22), server ethernet address: 00:24:01:AE:84:FB, lease time: 0.017h (60s)
Got BOOTREPLY (DHCPOFFER) for client ether: 00:04:3C:98:15:F9 You IP: 192.168.4.107/24
1. Got BOOTREPLY (DHCPACK) for client ether: 00:04:3C:98:15:F9 You IP: 192.168.4.107/24
2. Got BOOTREPLY (DHCPACK) for client ether: 00:11:18:3A:C7:AF You IP: 192.168.4.104/24
3. Got BOOTREPLY (DHCPACK) for client ether: 00:DE:7A:94:34:7B You IP: 192.168.4.106/24
4. Got BOOTREPLY (DHCPACK) for client ether: 00:A2:F7:49:23:F8 You IP: 192.168.4.101/24
5. Got BOOTREPLY (DHCPACK) for client ether: 00:5D:B5:21:E8:D3 You IP: 192.168.4.103/24
6. Got BOOTREPLY (DHCPACK) for client ether: 00:81:0A:96:55:F5 You IP: 192.168.4.100/24
7. Got BOOTREPLY (DHCPACK) for client ether: 00:D2:1D:C8:EA:E4 You IP: 192.168.4.102/24
8. Got BOOTREPLY (DHCPACK) for client ether: 00:95:8C:CF:9B:3F You IP: 192.168.4.104/24
9. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:E4:DB:74:39 You IP: 192.168.4.105/24
10. Got BOOTREPLY (DHCPACK) for client ether: 00:A5:B3:88:1C:D3 You IP: 192.168.4.101/24
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.
11. Got BOOTREPLY (DHCPACK) for client ether: 00:EA:79:8C:75:AE You IP: 192.168.4.103/24
12. Got BOOTREPLY (DHCPACK) for client ether: 00:35:9B:26:B8:98 You IP: 192.168.4.100/24
13. Got BOOTREPLY (DHCPACK) for client ether: 00:4B:1B:4A:CC:66 You IP: 192.168.4.102/24
14. Got BOOTREPLY (DHCPACK) for client ether: 00:F1:66:DF:CD:FE You IP: 192.168.4.104/24
15. Got BOOTREPLY (DHCPACK) for client ether: 00:D0:F7:10:EC:64 You IP: 192.168.4.105/24
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.
16. Got BOOTREPLY (DHCPACK) for client ether: 00:5E:34:DD:6F:1B You IP: 192.168.4.101/24
17. Got BOOTREPLY (DHCPACK) for client ether: 00:71:E3:8F:B7:64 You IP: 192.168.4.103/24


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Elisium от 03 Октября 2010, 20:25:24
з цим можна щось зробити ?

При умном доступе - блокировать ДХЦП ответы на клиентских портах.
При тупом - если дхцпдроп не помогает, подьехать к клиенту и культурно дать в бубен на тему "вася - ты не прав".


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: stix от 03 Октября 2010, 21:00:38
или погасить порт


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Rico-X от 18 Ноября 2010, 08:28:09
Спасибо огромное, средство как раз к стати пришлось, натравил на все пользовательские виланы, где прибилось 7 левых ДХЦП серваков. Очень нужная и полезная программа.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Fredik от 22 Января 2011, 10:17:22
пока соберусь поставить задам вопрос
сей продукт и дхцп стоит на одной машине, необходимо ли вписывать мак легального дхцп сервера - мак самого сервера?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 22 Января 2011, 12:36:05
Да необходимо в конфиге вписать легальные  дхцп сервера иначе он их начнет дропать.

Программа не срабатывает на дхцп серверах где очень короткое время лизинга айпи адресов. Тупо уходит в вечный цикл. ТОгданадо  уже физически отключить такого пользователя.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Fredik от 22 Января 2011, 21:17:50
Да необходимо в конфиге вписать легальные  дхцп сервера иначе он их начнет дропать.

Программа не срабатывает на дхцп серверах где очень короткое время лизинга айпи адресов. Тупо уходит в вечный цикл. ТОгданадо  уже физически отключить такого пользователя.
а короткие это на сколько?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Andrey Zentavr от 26 Января 2011, 02:58:29
Да необходимо в конфиге вписать легальные  дхцп сервера иначе он их начнет дропать.

Программа не срабатывает на дхцп серверах где очень короткое время лизинга айпи адресов. Тупо уходит в вечный цикл. ТОгданадо  уже физически отключить такого пользователя.
а короткие это на сколько?
Хороший вопрос... вот как начинает программа прибивать левый сервак - а он всё даёт ИПы и даёт...
Если говорить конкретно о цифрах - то от нескольких секунд до нескольких минут.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Fredik от 28 Января 2011, 16:54:15
а еще вопросец, а нет ли логирования у этой чудо программки?
чтоб записывало мак дхцп сервер и диапазон который выдавало, или хоть что-нибудь ))


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Андрій от 28 Января 2011, 17:05:20
також цікавить це питання, потрібно щоб вона не блокувала дхцп сервери, а записувала їхній мак у файлик


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: versus от 28 Января 2011, 22:27:24
Да может. Если перейти по ссылке на страницу программы, то можно найти скрипт на баше для того что бы найти и уничтожить запросами нелегальный сервер. Легким движением рук и включением на несколько минут головного мозга скрипт превращается в элегантные шорты.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Steel_Rat от 31 Января 2011, 12:39:15
також цікавить це питання, потрібно щоб вона не блокувала дхцп сервери, а записувала їхній мак у файлик
В таком случае можно просто перенаправлять стандартный поток вывода работы программы, например, в файл.
Код:
$DROPPER -i $IFNAME -t -l $LEGAL_SERVER -m 3 > temp.tmp
Ну и дальше уже анализировать его содержимое.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: ale-x от 03 Марта 2011, 20:37:01
На сервер с нодени(все в одном) приходит 5 вланов, крутился dhcdrop, сервер иногда сам перезагружался, продолжалось это до тех пор пока не выключил в кроне запуск dhcdrop. Фря 8.1 (сейчас уже 8.2), карточки интел обычные сотки 82559
Теперь думаю завести вланы на другой серв и запустить dhcdrop там.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: buka55 от 23 Мая 2011, 15:14:20
Скрипт Andrey Zentavr красиво работает.
Есть пожелания его доработать.
1.включить -L опцию всех интерфейсах т.е. vlan1 10.0.1.0 , vlan2  10.0.2.0
2.логирование...
3.при запуске в кроне и обнаружении левого сервера выводить об этом сообщение в отдельный лог,на консоль,на мейл...
ЗЫ. молодой я ещё... не знаю я этих тонкостей программирования. Но пытаюсь освоить.


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: cojiict от 02 Апреля 2013, 08:47:43
А якщо сервер працює тільки на статичних ІР і треба повністю мережу вичистити від всіх DHCP?
Чи потрібно при запуску вказувати МАС-и серверів як легальні, чи програма виявляє та ліквідовує тільки DHCP пул?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: poxy. от 02 Апреля 2013, 09:13:04
А якщо сервер працює тільки на статичних ІР і треба повністю мережу вичистити від всіх DHCP?
Чи потрібно при запуску вказувати МАС-и серверів як легальні, чи програма виявляє та ліквідовує тільки DHCP пул?
нужно


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: cojiict от 03 Апреля 2013, 10:02:12
тобто запустивши в мережі на клієнтському ПК можна навмисне порубати всім доступ до інтернету?
як захиститись подібного рейду?


Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: ser970 от 03 Апреля 2013, 10:04:49
тобто запустивши в мережі на клієнтському ПК можна навмисне порубати всім доступ до інтернету?
як захиститись подібного рейду?
да. если сеть на мыльницах , а если нет то и смысла не имеет его использовтать.
положить сеть ... етсь куча вариантов .



Название: Re: dhcdrop - средство для поиска и подавления сторонних DHCP-серверов
Отправлено: Rico-X от 03 Апреля 2013, 11:34:04
тобто запустивши в мережі на клієнтському ПК можна навмисне порубати всім доступ до інтернету?
як захиститись подібного рейду?
Строить сеть на нормальном железе. Сеть на мыльницах можно положить тупо замкнув на стороне абонента нужные пары на патчкорде, проще, быстрее и эффективней.