有没有什么好的FOSS工具可以对Linux / UNIX ISC DHCPd环境中使用的保留IP进行审计? 我试图确保当旧的MAC地址被拉的时候,我们没有保留陈旧的IP地址。
最初的问题是为了这个目的要求FOSS工具,但是我没有意识到这是正确的。
过去我不得不做这个练习,所以我可以解释一下为什么还有其他的build议可能还不够。 我会问你在你的networking上使用什么样的路由器。
在特定时间扫描networking是不够的; 它忽略了使用的时间方面等等。 简单地说,主机可能在您进行扫描时不在线。 另一个问题是主机可能启用防火墙来阻止扫描。
一个人类的过程…好吧,他们是如此卑鄙的东西,你为什么要一个人做这个?
将DHCP conf与租赁租赁进行比较也可能不足。 租赁数据库将随着时间的推移再次被追踪。 但真正的问题是,您可能已经在您的configuration中创build了静态使用的条目,而不是通过DHCP。 有人可能要求一个地址,发现他们不能正确configurationDHCP,并硬编码分配给机器的地址。
我使用的解决scheme是收集(思科)路由器的ARPlogging。 您需要捕获的最基本的信息是IP地址,MAC地址以及一段时间内的一些时间数据(首先看到,最后看到)。 然后可以将其与您的DHCPconfiguration进行比较,以查看哪些注册未被使用,并且可能会被回收。 ARP日志显示其他使用信息,例如
注册的MAC地址与注册的IP地址,但没有DHCP租约logging – 主机是硬编码的注册,不使用DHCP。
注册的MAC不使用注册的IP地址 – 如果在同一networking上,可能硬编码到错误的地址; 如果在另一个networking上,主机可能已经重新定位。
未注册的MAC与注册或未注册的IP地址 – 也许是一个新的网卡,也许是一个stream氓硬编码器。
您还需要创build(并为用户发布)策略,以便将DHCPlogging与ARP信息进行比较的脚本将在未使用N次的情况下提名要回收的地址。 我们用了六个月的时间,但是最后我们收回了一个去休假的工作人员的地址。 调整为合理。
希望这可以帮助!
根据David的回答,听起来好像你需要定期轮询默认网关和/或服务器上的ARP表。
一些相对简单的SNMP表格的Perl脚本应该允许你探测,并build立一个长期的MAC-> IP映射数据库。 参见例如http://docstore.mik.ua/orelly/perl/sysadmin/ch10_03.htm
我不知道这个工作是好还是好,但似乎收集了一些你需要的数据,所以这可能是一个开始。
如果你的意思是dynamic分配租约,你不必做任何事情。 ISC dhcpd尽可能地尝试保留之前分配的租约,直到租约池为空。 它将从过期的(因此目前未使用的)租约中清除。
如果你的意思是静态的保留,答案是:人的过程。
当旧电脑退役时,您正在清理您的DNS(以及,如果适用,NIS),对不对? 因此,请在该进程中添加注释,以同时清理DHCP预留。
在我们的例子中,我们有一个perl脚本,它读取特殊格式的源文件并自动生成NIS,DNS(向前和向后)和DHCP表,分发它们并通知服务守护进程。 这意味着我们有一站式清理自己和/或添加新的东西。
我想你可以把一个很简单的Perl脚本放在一起,比较/etc/dhcpd.conf和/var/lib/dhcp/dhcpd.leases
我会看看http://search.cpan.org/~jhthorsen/Net-ISC-DHCPd/lib/Net/ISC/DHCPd.pm这似乎有读取这两种types的文件的模块。
另一个想法是捕获和parsing命令的输出,如:nmap -sP -oG output.txt 10.0.0.0/8
如果命令是在中午运行的,或者是其他时候“所有人”都应该在线,那么大部分时间都可能会捕获幻像笔记本电脑。
在学校和大学等地方,他们根据自己的mac地址注册用户,像arpwatch这样的工具有一个静态ARP条目数据库。 在build立MAC地址数据库之前,最好审计您的networking空间。 这在NAT / DHCP网关上运行。
DHCP不应该依赖于networking用户pipe理。 如果有人select一个静态IP会发生什么?
祝你好运,Ash
arpwatch是一个计算机软件工具,用于监控计算机networking上的地址parsing协议stream量。 当networking上出现配对时,它会生成一个包含MAC地址的IP地址配对日志和一个时间戳记。
networkingpipe理员监视ARP活动以检测ARP欺骗。 – 维基百科