¿Paquetes DHCP emitidos en todos los puertos en un switch?

0

Me gustaría monitorear los paquetes DHCP en un cliente PC conectado a un conmutador / enrutador de 4 puertos.

¿Podré ver los paquetes DHCP enviados o recibidos en los clientes? conectado a otros puertos en este interruptor también?

lincow
fuente

Respuestas:

0

Descubrimientos y solicitudes DHCP (de cliente a servidor): Sí. Estos se transmiten y, por lo tanto, todos en el mismo segmento de red los recibirán.

Ofertas y Acks DHCP (de servidor a cliente): Normalmente no En una red conmutada, estos paquetes solo se reenvían al cliente que los solicita para comenzar, utilizando la tabla ARP del conmutador para determinar el puerto físico. Además, recuerdo usar Ettercap para este propósito exacto tal vez hace 10-15 años.

-Sin embargo-

Puedes olerlo por ello. El concepto es así:

  1. Spoof la dirección MAC de su destino

  2. Recibir y leer paquetes

  3. Vuelva a insertar (reenviar) el paquete una vez que haya terminado con él, para que pueda llegar a su destino correcto.

Muchas suites de software combinan los tres pasos anteriores en varias formas y formas, pero una muy común es Wireshark que está disponible para múltiples plataformas. Esto también le permite ver las solicitudes DHCP que normalmente son ignoradas por su sistema operativo. tcpdump también es una herramienta muy común, pero que yo sepa, solo está disponible para Linux y sistemas similares a Unix, además de que no hace un rastreo falso.

Básicamente, lo que está buscando es algo que permite "Detección unificada mediante envenenamiento ARP" además de la capacidad de captura de paquetes.

Jarmund
fuente
1
Hice algunas pruebas con tcpdump en mi máquina raspbian y parece funcionar, pero con los límites que describiste. ¿Es posible ver solicitudes de IP fallidas de clientes con contraseñas de wpa no válidas utilizando el método de rastreo?
lincow
@lincow Eso sería una captura de paquetes regular. Lo que necesita además es asegurarse de seguir recibiendo paquetes que no están destinados a usted, por ejemplo, envenenando el caché ARP del servidor DHCP.
Jarmund
Descubrí que hay una versión de consola de wireshark llamada tshark, la instalaré en mi pi y jugaré con esta herramienta.
lincow
@lincow tshark funciona igual que wireshark. Aún así, deberá utilizar el rastreo para ver las ofertas de DHCP a otros clientes.
Jarmund
0

Podrás ver el emisión mensajes del servidor y los clientes, pero parte de la información será transmitida por unicast en lugar de transmitir, y eso depende del estado del cliente y de cómo elija seguir las especificaciones del RFC 2131. Tú mayo Podrá ver parte del tráfico de unidifusión de otros puertos en su conmutador, pero no espere. Las renovaciones suelen utilizar unicast.

http://www.freesoft.org/CIE/RFC/2131/33.htm

Cuando el cliente DHCP conoce la dirección de un servidor DHCP, en el estado INIT o REBOOTING, el cliente mayo use esa dirección en el DHCPDISCOVER o DHCPREQUEST en lugar de la dirección de difusión IP.

Esta tabla resume algunos de los estados de difusión / unicast. http://www.freesoft.org/CIE/RFC/2131/28.htm

Los paquetes de descubrimiento siempre se transmiten. La solicitud siempre se transmite Si el cliente no tiene una dirección, pero mayo Se unicast en la renovación. Las ofertas y los paquetes de confirmación pueden depender de la implementación. Recomendaría leer el RFC para familiarizarse con el uso de la transmisión. Es más probable que vea el tráfico en la adquisición inicial de direcciones que en las renovaciones.

GuitarPicker
fuente