Ağdaki sahte DHCP sunucularını Tcpdump veya Wireshark ile tespit etmek için

Merhaba,

TCPDUMP ile DHCP sunucularını bulmak için öncelikle dinlemek istediğiniz ağ arayüzünü belirlemelisiniz, linux işletim sisteminde “ifconfig” ile arayüzleri görebilirsiniz.

Bizim dinleceyeğimiz arayüz “eth0” arayüzü, aşağıdaki filtreleme ile DHCP sunucularını tespit edebilirsiniz:

tcpdump -i eth0 -l  “udp src port 67 and udp dst port 68″

WIRESHARK ile DHCP sunucularını bulmak için “start” ile dinlemek istediğiniz arayüzü dinlemeye başladıktan sonra,

bootp.type == 2”  filtresi ile sadece DHCP offer ve ACK mesajlarının dinlenmesi sağlanmalıdır.

Aşağıdaki resimde göründüğü gibi ortamda 10.1.1.6 ve 10.1.1.7 gibi iki DHCP sunucu olduğu görülmektedir.

sahte_dhcpler2