Автор: GetinakS , 30 июня 2005
Заранее извиняюсь за беспокойство.
Ситуация: довольно крупный провайдер(около 2000+ клиентов), настройки выдаются по dhcp. В сети как физические, так и юридические лица. Одна из подключенных к сети "контор" умудрилась криво настроить свой dhcp сервер, в результате он стал раздавать лизы всем подряд.(в сети адресация 172.16.0.0/16, а это чудо выдает 192.168.0.0/24) Провайдеру (по крайней мере администратору) об этом сервере извесно, требования тоже выдвинуты, вот только толи не хочет пров терять такого клиента, толи опять разгильдяйство, но сервер "конторы" все ещё криво настроен. Я же проживаю в соседнем от конторы доме, в результате ответ от их dhcp приходит быстрее. Как результат - 20-30 ipconfig /release; ipconfig /renew каждую перезагрузку. В *nix эта проблема решилась очень просто, reject 192.168.0.5;.
Вопрос: нет ли аналогичных комманд(отклонения лиз от определенного сервера) в Win 2k/XP
Содержимое данного поля является приватным и не предназначено для показа.
О текстовых форматах

BBCode

  • HTML-теги не обрабатываются и показываются как обычный текст
  • You may use the following BBCode tags:
    • [align]
    • [b]
    • [code]
    • [color]
    • [font]
    • [hr]
    • [i]
    • [img]
    • [list]
    • [quote]
    • [s]
    • [size]
    • [spoiler]
    • [sub]
    • [sup]
    • [table]
    • [u]
    • [url]
  • Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.

Llama

20 лет 6 месяцев назад


По порядку. Если DHCP клиента работает в сети прова - это значит что она работает на внешнем интерфейсе, что ИМХО грандиозный маразм, за что админу клиента нужно вырывать яйцы (сам админ, так шо знаю о чем говорю).


Согласен.


Это раз. Если вы получаете левый DHCP в сети провайдера - это значит, что он не использует VLAN, то есть на вашем внешнем интерфейсе присутствует внешний траффик от массы клиентов данного прова, который и можно снифать - это во-вторых.


Только броадкасты. Ибо на другом конце как минимум мост, а то и маршрутизатор. VLAN далеко не всегда используются, т.к. 802.1Q требует поддержи на стороне устройства.



Кстати за это нужно вырвать тот же орган, но уже админу прова. При чем тут DHCP к паролям - это уже ваши фантазии, так что я тут ни при чем. В моем посте ничего подобного нет. Что касается нмапа - если у них так все настроено - как вы думаете, может у них еще какие-нибудь сервисы доступны :) ? SAMBA, к примеру? Или у клиентов что проявится? Вы же можете просканить сетку нмапом по данным DHCP? Прикиньте, сколько там может быть интересных тачек - в том числе под виндой?

Вот вроде и все...



Угу. До первой провайдерской IDS на висящей на TAP. С учетом того, что DSL это всяко не Ethernet по скорости, сделать не так уж и сложно...

Dmitrij

20 лет 6 месяцев назад


Это раз. Если вы получаете левый DHCP в сети провайдера - это значит, что он не использует VLAN, то есть на вашем внешнем интерфейсе присутствует внешний траффик от массы клиентов данного прова, который и можно снифать - это во-вторых.


Только броадкасты. Ибо на другом конце как минимум мост, а то и маршрутизатор. VLAN далеко не всегда используются, т.к. 802.1Q требует поддержи на стороне устройства.



Поддержка для дотКу требуется только на интерфейсе прова плюс на дотКушном хабе. Клиентам при порт-басед влане все пофигу (про ИП-басед врать не буду, не щупал-с, а на память пускай юзеря надеюцца). Тот факт что в сети видны "посторонние" машинки говорит о том, что в рамках "маршрутизатора" у прова стоит простой свитч, а снифферу это не помеха.


Кстати за это нужно вырвать тот же орган, но уже админу прова. При чем тут DHCP к паролям - это уже ваши фантазии, так что я тут ни при чем. В моем посте ничего подобного нет. Что касается нмапа - если у них так все настроено - как вы думаете, может у них еще какие-нибудь сервисы доступны :) ? SAMBA, к примеру? Или у клиентов что проявится? Вы же можете просканить сетку нмапом по данным DHCP? Прикиньте, сколько там может быть интересных тачек - в том числе под виндой?

Вот вроде и все...



Угу. До первой провайдерской IDS на висящей на TAP. С учетом того, что DSL это всяко не Ethernet по скорости, сделать не так уж и сложно...


Ну что касается IDS - она должна как дура орать на любой левый DHCP, тем более что снифф по большому счету не очень и отличается. При рассматриваемом варианте конфига сети прова IDS нереальна...

GetinakS

20 лет 6 месяцев назад

Про руки тех, кто строил сеть я промолчу, у нас сделаны кучи сегментов, маршрутизации нет, сегменты друг-друга вообще не видят, просто мне неповезло оказаться в одном сегменте с dhcp сервером, да и висел он у клиентов не на внешнем интерфейсе, просто оба интерфейса клиентского шлюза оказались(толи по тупости монтажников, короче того, кто этому клиенту делал внутреннюю сеть) в сети. Смысла сканить сеть нет, сегмент, в котором я обитаю мальенький, отсилы 20 машин, а другие увы я не увижу.