近期有个项目,负责为某单位建设态势感知平台,项目中除基本态势感知功能外还有3个定制需求,今天就针对其中的一个进行分享~
需求:检测接入到网络当中的非法DHCP server(这里的DHCP server主要针对无线路由器,当然还可以预防一定的中间人攻击)
为什么要有这样的需求呢?
客户现场某内网终端统一采用DHCP方式获取IP,且网络规模较大,且分散,网络结构为核心层、汇聚层、接入层,因客户现场都为不懂技术的普通员工,私接无线路由器的事时有发生。
据了解DHCP server配置在汇聚交换机上。
售前给出的方案是通过流量探针对镜像流量进行处理,把生成的日志发送给态势感知平台,态势感知平台同过配置告警规则就可以得出是否有非法DHCP server接入到网络中。
好像上面方案针对需求没毛病,但是。。。
在这里不得不吐槽,当方案到我手里的时候已经距离计划验收剩3个星期了,看到方案我整个心态炸了,一方面是新版探针不支持解析dhcp数据包,二是探针处理的是核心交换的流量,根本检测不到汇聚和接入交换的流量,
情况反馈项目经理,一方是是协调产品线去加班加点开发相应功能,二是反馈dhcp检测范围,项目经理给出的解决方案是功能具备,到时候就建议客户多买探针(本人感觉这种说法很逗,客户也不是傻子,虽然不是很懂技术,但客户对自己的需求很明确)
就这样一个星期功能开发完毕,对接态势感知完成,核心倒是检测到一部分dhcp服务但不多