Linux

審核 UNIX/Linux ISC-DHCP 的保留 IP

  • May 25, 2010

是否有任何好的 FOSS 工具可以對 Linux/UNIX ISC DHCPd 環境中使用的保留 IP 進行審計?我試圖確保在提取舊 MAC 地址時我們沒有保留過時的 IP 地址。

最初的問題要求為此目的使用 FOSS 工具,但我不知道有任何工具做得恰到好處。

我過去必須執行此練習,所以我可以解釋為什麼這裡的一些其他建議可能還不夠。我會問你在你的網路上使用什麼樣的路由器。

  • 在特定時間掃描網路是不夠的;除其他外,它忽略了使用的時間方面。簡單地說,當您進行掃描時,主機可能不線上。另一個問題是主機可能啟用了防火牆來阻止掃描。
  • 一個人的過程……嗯,他們是那麼軟弱的東西,你為什麼要一個人來做這個?
  • 將 DHCP conf 與出售的租約進行比較也可能是不夠的。隨著時間的推移,租賃數據庫將再次被跟踪。但真正的問題是您可能在配置中創建了一個靜態使用的條目,而不是通過 DHCP。有人可能請求了一個地址,發現他們無法正確配置 DHCP,然後硬編碼分配給機器的地址。

我使用的解決方案是從(Cisco)路由器收集 ARP 記錄。您需要擷取的最少資訊是 IP 地址、MAC 地址和一段時間內的一些時間數據(第一次看到,最後一次看到)。然後可以將其與您的 DHCP 配置進行比較,以查看哪些註冊未被使用並且可能被回收。ARP 日誌顯示其他使用資訊,例如

  • 已註冊的 MAC 具有已註冊的 IP 地址但沒有 DHCP 租用記錄——主機被硬編碼到其註冊中,而不是使用 DHCP。
  • 註冊的 MAC 不使用註冊的 IP 地址——如果在同一個網路上,可能硬編碼到錯誤的地址;如果在另一個網路上,主機可能已重新定位。
  • 具有已註冊或未註冊 IP 地址的未註冊 MAC — 可能是一個新的 NIC,也可能是一個流氓硬編碼器。

您還需要創建(並為使用者發布)策略,以便將 DHCP 記錄與 ARP 資訊進行比較的腳本將指定在一段時間 N 未使用後要回收的地址。我們用了六個月,儘管我們最終收回了一個正在休假的工作人員的地址。合理調整。

希望這可以幫助!

引用自:https://serverfault.com/questions/141193