Ungewollter DHCP Server nicht identifizierbar

[sash_mich 10]

Hallo Leute,

 

Wir haben ein verdammt komisches und nerviges Problem in unserem Netz.

 

Seit gestern spuckt irgendein DHCP im Netz rum und vergibt Adressen im 192.168.164.x range wir benutzen aber 10.70.10.x Adressen (Haben zu dem verschiedene VLANs aber es ist nur das .10.x VLAN betroffen.

 

Ich kann mit ipconfig /all die IP vom DHCP anzeigen lassen – 192.168.164.254 + DNS Server 192.168.164.1 aber Ich kann Sie weder mit:

 

Ping (no reply)

Tracert (Zeigt keine hops an)

Arp –a (kein Eintrag ….Physical mac adress – 00-00-00-00 usw. alles nur 0)

 

Identifizieren wo der DHCP herkommt noch wo er genau hockt – ca. 40 Rechner in dem VLAN

 

Mit dem tool DHCP Explorer kriege ich nur die Daten

 

DHCP Server (Steht weiter oben)

DNS Server (Steht weiter oben)

Subnet: 255.255.255.0

Domain: localdomain (ist nicht unsere domain)

 

Was tun ?? Wie würdet ihr vorgehen ??

 

Info: Gestern ist ein Main Switch (Cisco Catalyst) kurz ausgefallen und mehr oder weniger seit dem sehe ich das Problem auftreten aber switch läuft einwandfrei)

[Christoph35 10]

Das Tool DHCPLoc aus den Support-Tools hilft Dich auch nicht weiter?

 

Hört sich so an, als ob da irgendein SOHO Router oder dgl. eingenistet hat.

 

Christoph

[dadadum 10]

Hallo, zuallererst, ich kenne keine Lösung für dein Problem.

Trotzdem hätt ich ein paar anregungen, die dich hoffentlich weiterbringen.

 

Ich würde ja einen rechner auf DHCP stellen, dort ethereal starten, und mal schaun ob man da nicht doch ne MAC oder so herkrigt.

 

Wenn ja die MAC hier suchen: http://standards.ieee.org/regauth/oui/oui.txt dan weißt du immerhin mal um welches Gerät es sich handelt.

 

die 254 hinten sieht, fals niemand absichtlich schaden anrichten will, allerdings nach switch aus.....

 

Als workaround würde mir noch einfallen per GPO eine "Deny 192.168.164.254" regel auszurollen <- is allerdings weder ne Lösung noch hübsch meiner Meinung nach....

 

guter tipp sind auch immer neue Access points, da gibts immer wieder böse default settings......

 

Hattest du Arpwatch laufen? fals ja solltest du im Arpwatch log die MAC Adresse des DHCP servers finden, was natürlich die identifizierung erleichtert.

 

 

Hope it helps

dadadum

[lefg 276]

Hat da jemand einen WLAN-Accesspoint mitgebracht oder ein Notebook?

[Squire 262]

evtl. auch eine Printbox ... so verrückt es klingt ... es gibt Printserver die defaultmäßig einen DHCP Server laufen haben

[firefox80 10]

was ist denn dein normaler dhcp?

wenn dieser in active directory authorisiert ist, sollten deine domänen clients von keinem andern dhcp adressen annehmen

 

lass doch sonst mal den wireshark laufen. mit einem ipconfig /renew erzwingst du ein dhcp_offer von den dhcps und damit hast du mal seine mac adresse

... und die ersten bits geben dir im normalfall den hersteller an

 

LG

[XP-Fan 217]

Hallo,

 

VMWare Server installiert ?

[Pusi 10]

Oder VMware Workstation? Kollege hat mal die VM-DHCP-Einstellungen so umgefrickelt, dass er damit ein LAN bedient hat, gab mächtig Ärger ;-)

 

Gruß Pusi

[MacBoon 10]

wenn dieser in active directory authorisiert ist, sollten deine domänen clients von keinem andern dhcp adressen annehmen

LG

 

Wie lautet der beste Satz der IT?

 

"Sind sie wirklich sicher?"

 

 

Denn ich würde die Behauptung nämlich als Falsch beurteilen

 

 

Gruß MacBoon

[Pinf 10]

Hallo sash_mich!

 

Du könntest evtl. versuchen mit einem Tool wie dem Scanner nmap mehr Informationen über den DHCP-Server herauszufinden, z. B. offene Ports, MAC-Adresse, Netzwerkkartenhersteller, Betriebssystem usw. (Optionen -sV und -O, soweit ich nicht irre). DHCP-Server ist 67/udp. Wenn ihr Cisco einsetzt kannst du ja (un)bequem per ACL die MAC am Switch sperren. :D

 

Vielleicht bringts dich ja ein Stück weit weiter!

 

VG Pinf

[Daim 12]

Aloha,

 

Wie lautet der beste Satz der IT?

 

"Sind sie wirklich sicher?"

 

Denn ich würde die Behauptung nämlich als Falsch beurteilen

 

da kann ich nur sagen, der Kandidat hat 100% Recht ;).

 

Das ist ja genau das Problem der Autorisierung des DHCPs im AD. Im Prinzip ist der schuldige, der Windows Client. Denn dieser dürfte eben von keinem anderen DHCP-Server eine IP annehmen bzw. von keinem DHCP-Server, der nicht im AD autorisiert ist.

 

Und was macht unsern Windows -Client?

Richtig, er kümmert sich "nullinger" darum, WER ihm eine IP zuweißt. Genau da liegt das Problem.

Die Autorisierung schützt lediglich (wenn man das so sagen kann) das AD, das keine wildgewordenen DHCP-Server eben in einer AD-Domäne DHCP-Server sein dürfen.

 

Hängt man einen Router ins Netz, verteilt dieser wunderbar die IPs und die Suche nach dem Übeltäter kann losgehen.

[IThome 10]

Wie lautet der beste Satz der IT?

 

"Sind sie wirklich sicher?"

 

 

Denn ich würde die Behauptung nämlich als Falsch beurteilen

 

 

Gruß MacBoon

Jo, das ist nicht richtig ... Microsoft DHCP-Server starten nicht, wenn sie nicht authorisiert sind und verteilen dann natürlich auch keine Adressen. Dem Client ist das egal ...

[Daim 12]

@ITHome

 

Du musst den Zusammenhang schon herstellen ;).

Macboon bezog sich auf diese Aussage von firefox80

 

wenn dieser in active directory authorisiert ist, sollten deine domänen clients von keinem andern dhcp adressen annehmen

[IThome 10]

War auch so gedacht, aber das Zitat von McBoon wird nicht in meinem Zitat übernommen, das war mir mal wieder entfallen :D und kontrolliert hab ich´s auch nicht :rolleyes: