Unautorisierte (Rogue) DHCP-Server finden mit kostenlosen Tools

    DHCP-TopologieWilde DHCP-Server, in der Regel von Benutzern ohne Wissen der IT-Abteilung installiert, können Clients mit unbrauchbaren IP-Konfigurationen aus­statten und so den Zugang zu wichtigen Appli­kationen ver­bauen. Einige Tools helfen dabei, solche unautori­sierten DHCP-Server aufzuspüren.

    Wenn in einer AD-Domäne die DHCP-Dienste durch Windows Server erbracht werden, dann lässt sich die Inbetriebnahme eines ungenehmigten DHCP-Servers relativ leicht unterbinden. Denn nach der Installation der DHCP-Rolle muss der Server im Active Directory autorisiert werden und dafür sind administrative Rechte erforderlich.

    Große Vielfalt an DHCP-Servern

    Startet der DHCP-Dienst, dann prüft er, ob er sich im AD in der Liste der autorisierten Server befindet. Ist dies nicht der Fall, dann beendet er sich automatisch. Ein solch kooperatives Verhalten legen jedoch andere DHCP-Server nicht an den Tag, die typischerweise auf Switches und Routern laufen oder als kostenlose Implemen­tierungen für Windows erhältlich sind.

    In diesem Fall muss man den Übeltäter identifizieren, um ihn aus dem Verkehr ziehen zu können. Dafür eignet sich grundsätzlich auch das Tool dhcptest, mit dem sich die vom Client empfangene Konfiguration untersuchen lässt.

    CLI- und GUI-Tool von Microsoft

    Darüber hinaus gibt es einige Tools, die speziell für diesen Zweck gedacht sind, wobei die meisten nicht mehr ganz neu sind, aber weiterhin ihren Zweck erfüllen. Zwei davon stammen von Microsoft, wobei eines für die Kommandozeile dient.

    Es handelt sich dabei um dhcploc.exe, das bereits sich bereits auf der Installations-CD von XP befand. Es wurde zuletzt im Jahr 2012 aktualisiert und steht auf TechNet Gallery zum Download bereit. Der Aufruf erfordert die Angabe der lokalen IP-Adresse jenes Adapters, der mit dem Subnet verbunden ist, das getestet werden soll:

    dhcploc.exe 192.168.0.57

    dhcploc.exe zeigt hier, dass zwei DHCP-Server auf die Anfrage des Clients reagieren.

    Wie die anderen hier besprochenen Tools verlangt es, dass man dafür eine Ausnahme für die Windows-Firewall definiert. Danach muss man sich in Geduld üben, denn es dauert in der Regel mehrere Minuten, bis erste Ergebnisse sichtbar werden. Diese bestehen in einer Liste von angebotenen IP-Adressen inklusive der dafür verantwortlichen DHCP-Server.

    Das Tool schickt Anfragen in einer Endlosschleife an vorhandene DHCP-Server und läuft so lange, bis man es mit Strg + C beendet.

    Rogue DHCP Server Detection Tool

    Das zweite Programm von Microsoft ist das Rogue DHCP Server Detection Tool (RogueChecker.exe). Es wurde ursprünglich in einem TechNet-Blog vorgestellt und konnte von dort heruntergeladen werden. Das Posting ist mittlerweile verschwunden, das ZIP-Archiv existiert aber noch unter der alten Adresse (Download).

    Dieses GUI-Tool begrüßt den Anwender gleich mit einer Fehlermeldung, wenn man es nicht mit admini­strativen Rechten ausführt. Diese lässt sich jedoch wegklicken, ohne dass anschließend weitere Probleme auftreten.

    RogueChecker liest alle autorisierten DHCP-Server aus dem AD aus und zeigt an, welche im Subnet aktiv sind.

    Der Vorteil von RogueChecker besteht darin, dass es selbständig die Liste der autorisierten DHCP-Server aus dem AD ausliest. Anschließend kann man über die Schaltfläche Detect Rogue Servers alle DHCP-Server des betreffenden Subnets anzeigen lassen.

    Möchte man diese Abfrage in regelmäßigen Intervallen wiederholen, dann kann man diese auf der Registerkarte Configuration durch Eingabe einer Zahl von Minuten festlegen.

    DHCP Find

    Um ein simples Tool handelt es sich bei DHCP Find. Es besteht aus einem grafischen DHCP-Client, der bei jedem Klicken des Refresh-Buttons einen neuen Request sendet. Anschließend zeigt er die IP-Adresse des DHCP-Servers und einige Informationen zu der von ihm angebotenen Konfiguration, darunter die Gültigkeitsdauer der Lease.

    Reagiert ein DHCP-Server stets schneller als die anderen, dann stehen die Chancen schlecht, dass man damit alsbald eine vollständige Übersicht über das Subnet erhält.

    DHCP Explorer

    Diese kostenlose Software funktioniert nach dem gleichen Muster wie DHCP Find, nur dass es komfortabler zu bedienen ist, etwa durch die Auswahl des Adapters anhand der Mac-Adresse in einem Pulldown-Menü. Außerdem zeigt es mehr Informationen über die erhaltene Konfiguration an, beispielsweise den Namen der Domäne und das Default Gateway.

    Der DHCP Explorer ist ein relativ einfaches Tool, mit dem man nur einzelne Requests an einen Server absetzen kann.

    DHCP Explorer ist das einzige der hier besprochenen Tools, das installiert werden muss. Es kann von der Website des Herstellers heruntergeladen werden.

    1 Kommentar

    Matthias sagt:
    25. Februar 2016 - 19:55

    In einen kleinen Netz ist der böse DHCP ja wohl schnell zu finden und in großen Netzen hat man managed Switches, da muss man nur den Port raussuchen mit der MAC des DHCP.