On 2010-06-07, Paul van der Vlis <paul> wrote:
> Mark Huizer schreef:
>
> Ik heb geen Linux machine binnen het lokale netwerk jammergenoeg, dat is
> allemaal Windows.
>> Goed idee. Maar ik moet eerst het MAC-adres achterhalen. Het is een
> niet-lokaal IP wat zich binnen de lokale range bevindt. Maar geen idee
> hoe ik achter de MAC kan komen.
>> Die zijn er ook wel, het is een school overigens.

Even voor mijn informatie:
Het is de bedoeling een fabrikant te achterhalen n.a.v. het MAC-adres,
zodat je weet welk apparaat de boosdoener is?

Met vriendelijke groet,
Huub Reuver

The wise Paul van der Vlis enlightened me with:
>> PC zonder leases e.d. pakken, tcpdump draaien, kijken van wie je
>> allemaal een offer krijgt,
>
> Ik heb geen Linux machine binnen het lokale netwerk jammergenoeg, dat is
> allemaal Windows.

Die kan je toch meenemen als je aan het troubleshooten bent? Of je pakt
wireshark. Of windump

>> mac adressen opzoeken in mac tabellen van switches.
>
> Goed idee. Maar ik moet eerst het MAC-adres achterhalen. Het is een
> niet-lokaal IP wat zich binnen de lokale range bevindt. Maar geen idee
> hoe ik achter de MAC kan komen.

PC zonder leases e.d. pakken, windump draaien, kijken van wie je
allemaal een offer krijgt.

>> Of je switches configureren, ik neem tenminste aan dat een
>> bedrijf met honderden pc's een beetje fatsoenlijke managed switches
>> heeft
>
> Die zijn er ook wel, het is een school overigens.

Wat is dan het probleem? Dan configureer je die zodat alleen een paar
trusted poorten DHCP offers mogen versturen en dan boeit het verder niet
meer waar dat apparaat zit. Voor elk beetje groot netwerk waar je dat
soort dingen kan verwachten een erg handige activiteit. Al dat uitzoeken
kost zoveel tijd en geld, daar kan je beter gewoon meteen het probleem
structureel mee oplossen.

Mark

Paul van der Vlis <paul> wrote:
> Kennen jullie een tool om DHCP servers op te sporen?

Broadcast DHCPREQUEST sturen op poort 68, zien wie er antwoordt. Met om het
even welke scripting taal kan je zo'n ding wel craften.

Ik lees verder in de draad dat je managed switchen hebt. Als het layer2/3
managed switches zijn, kan je er vaak een DHCP relay op draaien en DHCP
broadcasts gewoon niet flooden.

http://www.cisco.com/en/US/docs/swit...guide/dhcp.pdf

Als je enkel layer2 switches hebt, kan je broadcast DHCPOFFERs inspecteren.

dhcp_probe kan je hiermee helpen:

http://www.net.princeton.edu/software/dhcp_probe/

Met dhcp_probe (of gewoon met Perl...) zou je een scriptje kunnen brouwen dat
onwenselijke DHCP servers van het netwerk gooit door hun switchport dicht te
zetten (middels SNMP).

- Philip

Paul van der Vlis schreef:
> Hallo,
>
> Kennen jullie een tool om DHCP servers op te sporen?
>
> Ik bedoel voor een situatie waar er mensen zijn die het leuk vinden om
> DHCP te enabelen, terwijl dat niet de bedoeling is.

Bedankt voor de hulp. De boosdoener is gevonden door het eruit-trekken
van netwerkstekkers. Ahum.

Om zoiets voor de toekomst te voorkomen zal ik nog eens goed nadenken,
maar nu weinig tijd.

Met vriendelijke groet,
Paul van der Vlis.

Huub Reuver schreef:
> On 2010-06-07, Paul van der Vlis <paul> wrote:
>
> Even voor mijn informatie:
> Het is de bedoeling een fabrikant te achterhalen n.a.v. het MAC-adres,
> zodat je weet welk apparaat de boosdoener is?

Nee, in de router kun je dan vinden aan welk kabeltje hij hangt.


Met vriendelijke groet,
Paul van der Vlis.

Paul van der Vlis schreef:
> Paul van der Vlis schreef:
>> Hallo,
>>
>> Kennen jullie een tool om DHCP servers op te sporen?
>>
>> Ik bedoel voor een situatie waar er mensen zijn die het leuk vinden om
>> DHCP te enabelen, terwijl dat niet de bedoeling is.
>
> Bedankt voor de hulp. De boosdoener is gevonden door het eruit-trekken
> van netwerkstekkers. Ahum.
<snip>

LOL! Dat is ook een manier ;-)

On 2010-06-08, Bas Janssen <bas> wrote:
> Paul van der Vlis schreef:
>> Paul van der Vlis schreef:
>>> Hallo,
>>>
>>> Kennen jullie een tool om DHCP servers op te sporen?
>>>
>>> Ik bedoel voor een situatie waar er mensen zijn die het leuk vinden om
>>> DHCP te enabelen, terwijl dat niet de bedoeling is.
>>
>> Bedankt voor de hulp. De boosdoener is gevonden door het eruit-trekken
>> van netwerkstekkers. Ahum.
><snip>
>
> LOL! Dat is ook een manier ;-)

Dat is de meest betrouwbare manier...
En daarbij niet afhankelijk van geinstalleerde software of speciale
functies in de hardware.

Een probleem met een DHCP-server is daarbij nog vrij eenvoudig. Als er
een echt router vervelend gaat doen heb je een groter probleem. Als er
iets fout gaat met spanning tree bijvoorbeeld. Als een router reset naar
de fabrieksinstellingen zie je vaak de genoemde DHCP-problemen.

Met VLAN's in managed switches kun je het probleem lokaal insluiten.
Verder zijn er verschillende mogelijkheden voor monitoring en
troubleshooting genoemd. Met het opdelen in VLAN's moeten je DHCP-servers
en routers wel kunnen omgaan met meerdere VLAN's. Als deze werken met
Linux zal dat geen probleem zijn.

Met vriendelijke groet,
Huub Reuver

"Paul van der Vlis" <paul> wrote in message
news:514c
> Goed idee. Maar ik moet eerst het MAC-adres achterhalen. Het is een
> niet-lokaal IP wat zich binnen de lokale range bevindt. Maar geen idee
> hoe ik achter de MAC kan komen.
Configureer een extra IP adres op de Windows machine, het niet-lokale IP + 1
met een netmask van 255.255.255.0, ping het en check vervolgens de arp
cache?

Zodra hij denkt dat het IP lokaal is, zal hij bij een ping via arp (who-has,
i-have) op het lokale segment gaan zoeken, en zou je met arp(.exe) het
mac-adres te pakken moeten krijgen.