retodellatorre
Goto Top

Seltsamer dhcp offer in subnetzen

hallo zusammen

ich hab in 3 verschiedenen subnetzen seltsame dhcp offer einer IP welche aus mubai stammen soll.
da die netze sehr gross sind, kann ich noch nicht sagen ob gewisse clients sich da bediehnt haben. der fremde dhcp server offeriert adressen aus unserem netz was das ganze schwieriger macht.
ich bin darauf gekommen weil einige drucker sich partout keinem dhcp mehr hergeben wollen und apipa machen.
ist es möglich das ein fremder dhcp durch unsere firewalls in unserem netz adressen offeriert?

danke für hinweise!
grüsse
reto
bildschirmfoto 2019-11-05 um 21.01.47

Content-ID: 511843

Url: https://administrator.de/forum/seltsamer-dhcp-offer-in-subnetzen-511843.html

Ausgedruckt am: 24.12.2024 um 13:12 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 06.11.2019 aktualisiert um 00:33:52 Uhr
Goto Top
Zitat von @retodellatorre:

ist es möglich das ein fremder dhcp durch unsere firewalls in unserem netz adressen offeriert?

Moin,

Entweder ihr nutzt einen DHCP-Proxy den Ihr falsch konfiguriert habt oder ein Angreifer hat euch einen DHCP-Proxy untergeschoben.

Schau mal mit wireshark nach den MAC-Adressen, welche Kiste den offer sendet und auf den switches, auf welchem Port diese Mac-Adresse hängt.

Und ich würde nach den DHCP-Optionen schauen, die in dem Offer mitgeschickt werden.

lks
StefanKittel
Lösung StefanKittel 06.11.2019 um 08:20:57 Uhr
Goto Top
Hallo,

kannst Du über den Switch den Port bestimmen?
Vieleicht ist es "nur" ein Gerät wo der Hersteller so eine tollen Auto-DHCP-Funktion bereitstellt und die verpfuscht hat.

Stefan
retodellatorre
retodellatorre 07.11.2019 um 08:31:41 Uhr
Goto Top
danke euch ich habe den fehler gefunden.

DHCP find version 2 ist offenbar derart veraltet dass es nicht nur falsch resultate auspuckt, sonder aucvh währen der ausführung den netzverkehr erheblich stört - dies führt zu einer doppelten irreführung.
die analyse mit nmap zeigte keinen weiteren dhcp server.
Lochkartenstanzer
Lochkartenstanzer 07.11.2019 um 08:38:03 Uhr
Goto Top
Zitat von @retodellatorre:

danke euch ich habe den fehler gefunden.

DHCP find version 2 ist offenbar derart veraltet dass es nicht nur falsch resultate auspuckt, sonder aucvh währen der ausführung den netzverkehr erheblich stört - dies führt zu einer doppelten irreführung.

Moin,

dhcptest, dhcpdiscover, dhcpdump, etc. sind die üblichen tools aus der linux-Ecke für solche Aufgaben. Diese gibt es für Windows genauso.

lks