非法DHCP server 檢測?開玩笑~
近期有個專案,負責為某單位建設態勢感知平臺,專案中除基本態勢感知功能外還有3個定製需求,今天就針對其中的一個進行分享~
需求:檢測接入到網路當中的非法DHCP server(這裡的DHCP server主要針對無線路由器,當然還可以預防一定的中間人攻擊)
為什麼要有這樣的需求呢?
客戶現場某內網終端統一採用DHCP方式獲取IP,且網路規模較大,且分散,網路結構為核心層、匯聚層、接入層,因客戶現場都為不懂技術的普通員工,私接無線路由器的事時有發生。
據瞭解DHCP server配置在匯聚交換機上。
售前給出的方案是通過流量探針對映象流量進行處理,把生成的日誌傳送給態勢感知平臺,態勢感知平臺同過配置告警規則就可以得出是否有非法DHCP server接入到網路中。
好像上面方案針對需求沒毛病,但是。。。
在這裡不得不吐槽,當方案到我手裡的時候已經距離計劃驗收剩3個星期了,看到方案我整個心態炸了,一方面是新版探針不支援解析dhcp資料包,二是探針處理的是核心交換的流量,根本檢測不到匯聚和接入交換的流量,
情況反饋專案經理,一方是是協調產品線去加班加點開發相應功能,二是反饋dhcp檢測範圍,專案經理給出的解決方案是功能具備,到時候就建議客戶多買探針(本人感覺這種說法很逗,客戶也不是傻子,雖然不是很懂技術,但客戶對自己的需求很明確)
就這樣一個星期功能開發完畢,對接態勢感知完成,核心倒是檢測到一部分dhcp服務但不多
本來打算一直隱瞞到專案驗收階段,可是紙包不住火,客戶想測試一下,沒辦法,只好和客戶坦白,不過在坦白之前我已經想好對策,就是建議客戶從交換機上入手,配置dhcp snooping直接可以阻斷非法DHCP server,並建議客戶很多問題可以從交換機上入手,雖然公司定製開發團隊很厲害,但是有些違背基礎原理的還是無法實現的
索性客戶比較好說話,讓我協助進行測試,再找整合商的進行刷配置
首先在核心上測試了接入無線路由,可以檢測到無線路由器,併產生了相應告警
接著在接入交換機上測試開啟dhcp snooping功能,的確可以成功阻斷該dhcp server
但是目前的配置只是阻斷了,交換機上沒有產生對應日誌,後來諮詢華三後得知一條命令就可以產生該日誌(這裡不得不吐槽華三400,你必須得有在維保內的序列號才可以諮詢。。。)
就這樣,非法DHCP server 檢測危機過去了。。。
DHCP
# 全域性開啟DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable
# 設定GigabitEthernet1/0/1埠為信任埠。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2上開啟DHCP Snooping表項功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit
dhcp snooping binding record命令用來啟用埠的DHCP Snooping表項記錄功能(據華三廠家介紹開啟該功能即可產生阻斷日誌,當然前提還得配置好syslog轉發功能)
關於通過流量監測識別dhcp server的方式可以參考:https://blog.csdn.net/killmice/article/details/53007476中的“DHCP報文型別”那些資料包是dhcp server向dhcp client傳送的就可以通過配置規則實現dhcp server發現。
文章中如有不足之處歡迎指出,最後希望銷售,售前,專案經理,工程師可以和諧相處,實現客戶成功~
相關文章
- zabbix監控windows DHCP serverWindowsServer
- 玩手機得“老年痴呆”,這真不開玩笑!
- SQL Server資料檔案增長檢測(三)RFSQLServer
- SQL Server資料檔案增長檢測(一)FMSQLServer
- Linux(centos7)檢視和設定ip(DHCP)LinuxCentOS
- sql-server檢視SQLServer
- DHCP
- SQL SERVER巡檢指令碼SQLServer指令碼
- 開源漏洞檢測框架收集框架
- 請問自動化測試應該測試非法資料嗎
- [雲端計算]Windows Server 2012 R2 配置AD/DNS/DHCP服務WindowsServerDNS
- DHCP原理
- SQL Server資料庫巡檢SQLServer資料庫
- MSSQL資料庫健康檢查--SQL Server巡檢SQL資料庫Server
- 瀏覽器開發者工具開啟檢測瀏覽器
- dhcp報錯
- DHCP服務
- Windows-DHCPWindows
- 如何配置DHCP
- Dependabot 開始支援 pub package 版本檢測Package
- Halcon表面缺陷檢測-劃痕檢測
- 文章相似度檢測,相似度檢測工具,原創度檢測工具
- 網站漏洞檢測 滲透測試檢測手法網站
- 目標檢測:二維碼檢測方案
- DHCP是什麼?DHCP伺服器是什麼意思?伺服器
- 非法詞彙過濾
- JS 校驗非法字串JS字串
- nodejs檢測因特網是否斷開方案NodeJS
- [計算機視覺]人臉應用:人臉檢測、人臉對比、五官檢測、眨眼檢測、活體檢測、疲勞檢測計算機視覺
- 原創文章檢測工具,原創文章檢測軟體,檢測文章相似度
- 安全CHIP之DHCP
- DHCP 和 DNS 示例DNS
- 特徵檢測特徵
- 碰撞檢測
- 心跳檢測
- 微信域名檢測線上批次檢測如何實現?——利用域名檢測api介面實現批次檢測工具教程API
- 國科雲:什麼是DHCP?DHCP是怎麼工作的?
- DHCP什麼意思?DHCP有什麼用?(中科三方)