在局域网上检测(定位)流氓PXE服务器
我们办公大楼上的计算机(通过BIOS)配置为启动PXE作为第一选择。
这是一个有用的设置,只要需要的时候,我们可以远程恢复非引导机器和所有这些东西。
但是,如果有人设置了一个流氓PXE服务器,那么在下一次重新启动时,机器可能会受到破坏(即:自动Windows重新启动),因此必须能够检测到这样的服务器。
我可以用什么方法来测试本地网络上是否有任何PXE服务器在运行?
如果可能的话,获取一些信息(如IP或MAC)来定位这个流氓服务器可能是很好的。
假设:
- 网络已经有一个DHCP服务器正在运行。PXE和DHCP服务器不在同一设备/计算机上。
回答 2
Security用户
发布于 2019-09-08 17:51:59
如果通过DHCP选项向客户端提供PXE ( TFTP )服务器信息,则可能需要防止有人在网络中设置恶意DHCP服务器,以便向客户端提供恶意TFTP服务器的入口。DHCP窥探可能对您有所帮助:它只允许在已配置为网络管理员信任的端口中使用DHCP消息(如DHCPoffer)。这些受信任的端口应该是合法的DHCP服务器连接到预期来自合法DHCP服务器的DHCP应答的网络o的端口。
除了有效地防止流氓DHCP服务器在您的网络中工作之外,如果您监视在DHCP窥探违规发生时生成的日志消息,它还将允许您检测此类服务器及其连接的位置。
Security用户
发布于 2020-02-20 23:23:48
您可以使用nmap进行此操作;请在此阅读我的答案:
https://serverfault.com/questions/993783/how-can-i-check-my-pxe-server-configuration/
收集不同的答案和过滤,例如MAC地址,您可以很容易地找到一个流氓PXE服务器的存在。
应该考虑的是,PXE信息(NBP和TFTP服务器IP)可以位于DHCPOFFER数据包的正文(file和next-server字段),也可以作为相应的DHCP选项。
https://security.stackexchange.com/questions/216734
复制相似问题
腾讯云开发者
