DHCP 서버가 클라이언트의 OS를 결정할 수 있습니까? [닫은]

18

닫은. 이 질문은 주제에 맞지 않습니다 . 현재 답변을받지 않습니다.

이 질문을 개선하고 싶습니까? 네트워크 엔지니어링 스택 교환에 대한 주제가 되도록 질문을 업데이트하십시오 .

휴일 2 년 전 .

DHCP 서버가 클라이언트 운영 체제를 결정할 수 있습니까?

웹 기반 로컬 네트워크의 게이트웨이에 대한 모니터링 도구를 개발 중이며 네트워크상의 장치가 실행중인 OS를 어떻게 든 결정할 수 있기를 원합니다. DHCP 서버가 IP 주소를 할당 한 시간

실패하면 포트 80에서 트래픽을 필터링하고 HTML 헤더 정보를 가져 오는 방법을 알고 있지만이 방법은 장치가 웹을 서핑하기를 기다리는 데 의존하므로 감지 / 해결에 대한 초기보다 바람직하지 않습니다. 모든 장치가 인터넷을 탐색하는 데 사용되는 것은 아닙니다.

필자는 게이트웨이 구성을 완전히 제어했습니다. 데비안 배포판을 실행하고 DHCP, DNS, ARP 등 작업을 수행하는 다른 모든 도구를 제안합니다.

dhcp protocol-theory

— 마이클 랭
소스

Infoblox에는 OS 지문을 수행 할 DHCP 서버가 있습니다.

— some_guy_long_gone

15

여러 OS에서 DHCP 패킷의 미묘한 차이를 확인하여 DHCP 지문을 생성하기위한 일부 작업이 수행되었습니다. 예에는 DHCP 요청에있는 옵션 및 순서, 옵션 55 (매개 변수 목록)와 같은 특정 옵션의 내용이 포함됩니다.

fingerbank.org 에서 서류와 서명을 살펴보십시오 . 이는 DHCP 트래픽을 기반으로 한 수동 OS 지문 처리가 가능하다는 것을 나타냅니다 (직접 테스트하지는 않음). 일반 IP 속성 (TTL, diffserv 등)과 같은 다른 정보를 포함시켜 결과를 개선 할 수 있습니다.

활성 지문은 더 나은 결과를 제공 할 수 있지만 사용 사례의 옵션이 아닐 수 있습니다.

Fingerbank 웹 사이트에는 서명을 사용하는 두 가지 오픈 소스 제품이 언급되어 있습니다. 독점 DHCP 어플라이언스 Infoblox에는 유사한 기능이 포함 된 것으로 보이지만 기술적 인 세부 정보는 제공되지 않습니다.

— 거벤
소스

3

일부 DHCP 클라이언트는 부팅시 OS 정보를 안정적으로 공개하지 않습니다. 위에서 언급했듯이 이러한 기술과 관련된 지적 재산이 있습니다. 예를 들어 Infoblox와 Cisco ISE는 그들이 보는 dhcp 패킷을 기반으로 클라이언트 OS 프로파일을 구축 할 수 있습니다. 실제로 Cisco ISE에는 dhcp 이상을 보낼 수있는 경우 상당히 정교한 OS 분류 알고리즘이 포함되어 있습니다.

또는 "초 경과"필드에서 Windows 엔디 언 버그 와 같은 휴리스틱을 사용할 수 있지만 OS 버그에 의존하는 것은 OS 감지를 처리하기에 좋지 않은 방법입니다.

전용 공급 업체 어플라이언스없이 OS를 실제로 감지해야하는 경우 IP 주소를 발행하고 DHCP Ack를 보낸 후 NMAP으로 호스트를 스캔하십시오. 누구나 원하는 경우 UserAgent 문자열을 변경할 수 있으므로 HTTP 헤더 사용은 nmap 만큼 안정적이지 않습니다 . nmap 은 OS 감지에서 100 % 신뢰할 수는 없지만 모든 것에 대해 단일 방법을 선택해야하는지 알 수 있습니다.

일부 사람들은 모든 DHCP 호스트에서 기본 nmap 스캔을 좋아하지 않을 수 있기 때문에 서버에서 구성 가능한 옵션으로 만들 것 입니다.

Windows7에 대한 예제 nmap OS 스캔 :

[mpenning@myhost ~]$ sudo nmap -O 10.1.1.1

Starting Nmap 5.51 ( http://nmap.org ) at 2013-08-24 16:20 CDT
Nmap scan report for 10.1.1.1
Host is up (0.00078s latency).
Not shown: 985 closed ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds

Device type: general purpose
Running: Microsoft Windows Vista|2008|7
OS details: Microsoft Windows Vista SP0 - SP2, Server 2008, or Windows 7 Ultimate
Network Distance: 5 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.25 seconds
[mpenning@myhost ~]$

— 마이크 페닝 턴
소스

nmap의 지문 인식 기능을 지적 해 주셔서 감사합니다 ... 정확하고 시간의 약 50 % (네트워크에서 10 대의 컴퓨터 5 대를 얻음)가 있지만 스캔은 각 장치마다 25 초에서 102 초가 걸립니다. 그러나 이것은 OS 지문 및 esp에 대해 많은 것을 이해하도록 도와줍니다. 내 최선의 방법 인 수동 옵션.

— Michael Lang

@MichaelLang 걸리는 시간을 줄이려면 -T5플래그 와 함께 nmap을 실행 하여 속도를 크게 높이십시오 .

— Ryan Foley

2

DHCP 프로세스 자체의 일부로, 나는 그렇게 믿지 않습니다. 그러나 dhcpd 로그를 긁어 내고 dhcp acks를 감시하고 nmap os 지문 인식과 같은 외부 프로세스를 실행하여 방금 할당 된 IP 뒤에 무엇이 있는지 알아낼 수 있는지 확인할 수 있습니다.

— 표
소스

2

가장 정확한 대답은 '아니요'입니다. 에 대한 유용한 답변을 이미 얻었 nmap지만 DHCP를 통해해야하는 경우 많은 클라이언트가 검색 패킷에 공급 업체 클래스 식별자 (DHCP 옵션 60)를 보내 DHCP 서버가 공급 업체별 옵션 (DHCP 옵션 43)을 제공 할 수 있습니다. tcpdump를 실행하면 옵션 60에 대해 클라이언트가 보낸 DHCP 디스커버리 패킷을 살펴보면 MSFT 5.0Windows 클라이언트, udhcpc일반적으로 마이크로 DHCP 클라이언트를 실행하는 임베디드 장치 등을 볼 수 있습니다.이 정보는 사용되기 때문에 매우 구체적이지 않습니다. 운영 체제 대신 DHCP 클라이언트를 구별합니다.

— 잠옷
소스

1

또한 장치가 네트워크에있을 수있는 범위를 좁히는 또 다른 유용한 방법은 IEEE 웹 사이트의 MAC 주소를 기반으로 OUI를 조회하는 것입니다.

— Michael Lang