tcpdump - как мониторить DHCP запросы

Встала один раз задачка - сграбить - что идет и идет ли вообще к одному DHCP серверу. Т.е. идут ли хотя-бы запросы к серверу DHCP и если да - то с какой задержкой (отдаляясь от сути темы - затыр нашелся на стороне 3Com 4900, который слишком долго одупляет появившийся активный порт и некоторые сетевки в режиме PXE просто недожидаются).

Ну, первое, что приходит в голову - что? Праааавильно, tcpdump. Но как правильно мониторить трафик к DHCP через tcpdump, не видя всего остального?

Итак:

1) Мы должны быть на сервере DHCP

2) Нас интересует трафик по UDP

3) Нас интересует порт 67 по этому UDP

Например, сетевая карта у нас обзывается eth0, тогда вот так это будет выглядеть:

$ sudo tcpdump -i eth0 -n udp and port 67

Windows: сброс настроек сетевой карты на по-умолчанию (default)

Актуально для: Windows XP/Vista/7; Server 2003/2008

Итак, у нас есть компьютер с Windows, сеть на котором по необъяснимым причинам начинает "шатать". Или она не работает, хотя причин для этого нет, или работает очень медленно, или ответ на пинги с гигантскими задержками. Многое бывает.

Вы все перепробовали и последнее, что остается - это сетевая карта. Менять? А давайте еще на пару минут задержимся и попробуем ввести вот такую команду:

C:\> netsh winsock reset

Перезагружаемся и глядим снова. А вдруг заработало?

Данная команда сбрасывает все настройки сетевых интерфейсов на настройки по-умолчанию. Что положительно влияет как раз в случаях, когда по какой-то причине (сами в реестре мутили или программная шняга какая постаралась) настройки эти кренит. Т.е. с виду все в порядке, но в глубинах интернетах затерялась незаметная кака, из-за которой Вы и получаете фиг с сетью.

Конечно, далеко не факт, что поможет. Но по практике - бывает, помогает ;)

Windows Server: как переименовать контроллер домена

Актуально для: Windows Server 2003, 2008

Задача: переименовать контроллер домена под управлением Windows Server 2003 или 2008.

Простым методом - открыть свойства компьютера и изменить имя - не получается, т.к. сервер будет ругаться словами вида "сначала понизьте роль сервера и только потом переименовывайте". С какой-то стороны он прав - просто так менять имя не стоит. Ведь контроллер домена - самая важная частичка домена, а службы в Windows обращаются к нему как раз по имени, а совсем не по IP адресу, как нам иногда хотелось-бы.

Однако случаи бывают разные и иногда понижать роль контроллера только для его переименования - не то, чтобы не айс, а совсем нельзя.

Что-ж, приступим.

1) Первое - если на сервере установлена служба сертификации - ее придется удалять, иначе ничего не получится. Как это сделать - написано здесь.

2) Если у Вас не Server 2008 - придется скачать "Windows Server 2003 Administration Tools Pack", доступный отсюда: ссылка.

3) Дальше выполняем команду из командной строки с правами админа:

C:\> netdom computername OldComputerName /add:NewComputerName

Этим мы добавим еще одно сетевое имя для данного компьютера (в нашем случае - сервера). Причем имя это будет так-же зарегистрировано и в DNS домена.

4) Подождите, пока все контроллеры домена произведут репликацию. Это очень важно - нельзя, чтобы какой-то из контроллеров не знал текущей картины домена.

5) Теперь делаем новое имя сервера - основным:

C:\> netdom computername OldComputerName /makeprimary:NewComputerName

6) Перезагружаем сервер

7) Вводим в командной строке:

C:\> netdom computername NewComputerName /remove:OldComputerName

чем мы удаляем старое имя компьютера (сервера).

Вот и все, контроллер домена переименован.

В примерах выше:

NewComputerName : Новое имя сервера контроллера домена

OldComputerName : Старое имя сервера контроллера домена

Cisco: включаем DHCP сервер на маршрутизаторе (роутере)

Актуально для: Cisco IOS (роутеры)

Итак, нам необходимо включить и настроить DHCP сервер на маршрутизаторе Cisco. Вот пошаговая инструкция - что следует сделать.

Настройка DHCP

1) Входим в привелегированный режим и режим конфигурации

> enable

# config t

(config)#

2) Создаем пул адресов

(config)# ip dhcp pool MyDHCPpool1

(dhcp-config)#

В данном примере создается пул MyDHCPpool1, с которым мы в дальнейшем будем работать. Имя Вы можете указать, конечно, свое.

3) Задаем адресацию сети

(dhcp-config)# network 192.168.1.0 255.255.255.0

В данном примере мы даем понять, что адреса следует выделять из подсети 192.168.1.0/24.

4) Задаем шлюз по-умолчанию

(dhcp-config)# default-router 192.168.1.1

Здесь мы задали адрес 192.168.1.1 как шлюз по-умолчанию. Эта настройка прилетит DHCP-клиенту с выделенным ему IP-адресом автоматически.

5) Задаем DNS-сервер

(dhcp-config)# 192.168.1.2

Здесь мы задали адрес 192.168.1.2 как DNS-сервер. Эта настройка прилетит DHCP-клиенту с выделенным ему IP-адресом автоматически.

6) Задаем адреса, исключенные из выдачи

Вам наверняка потребуется задать некоторый набор IP адресов, которые DHCP сервер не должен выдавать клиентам. Например, на этих серверах могут висеть сервера или статически прописавшиеся компьютеры, которые должны иметь постоянные IP адреса.

Заметка. Прописываются исключенные адреса не из конфигурации пула, а из корня конфигурации.

(dhcp-config)# exit

(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9

(config)# ip dhcp excluded-address 192.168.1.250

В данном примере мы указали роутеру не выдавать адреса из диапазона с 192.168.1.1 по 192.168.1.9 и не выдавать адрес 192.168.1.250.

Если Вам необходимо удалить введеный адрес-исключение - используйте префикс "no" перед командой:

(config)# no ip dhcp excluded-address 192.168.1.250

Удаление пула (выключаем DHCP)

Для этого используем префикс "no". Например, у нас пул называется "MyDHCPpool1", тогда его удаление будет выглядеть так:

(config)# no ip dhcp pool MyDHCPpool1

И не забудте удалить адреса-исключения, чтобы не болтались в конфигурации.

Cisco: как настроить сетевой интерфейс (Fa, Vlan); как присвоить IP адрес, скорость, дуплекс...

Актуально для: Cisco любых IOS

Итак, нам нужно настроить сетевой интерфейс маршрутизатора Cisco или коммутатора этой же конторы. Давайте поиграемся с этими железками и посмотрим - что можно сделать.

Выбор интерфейса

Сначала нам нужно войти в режим конфигурирования сетевого интерфейса (грубо - сетевой карты). Т.е. все операции по управлению происходят из определенного места - когда Вы находитесь в режиме настройки конкретного интерфейса.

Итак, выполняем:

> enable

# config t

(config)# interface FastEthernet 0/0

(config-if)#

Тут, очевидно, интерфейс FastEthernet 0/0 нужно заменить на тот, который Вы собираетесь настраивать. В терминах Cisco интерфейсы называются вот так (основные):

Ethernet : 10Мбит/с интерфейс (RJ45)

FastEthernet: 10/100Мбит/с интерфейс (RJ45)

GigabitEthernet: 10/100/1000Мбит/с интерфейс (RJ45)

Vlan: Соответственно, виртуальный интерфайс определенного VLAN

Т.е. для того, чтобы, например, настроить вторую сетевую карту в роутере Cisco 18xx - мы указываем "FastEthernet 0/1", а чтобы настроить сетевой интерфейс для VLAN 205 - используем вот такое указание: "Vlan 205".

Итак, подав выше описанную команду мы попадаем в режим настройки выбранного интерфейса, откуда уже и будем с ним баловаться.

Задаем IP адрес

(config-if)# ip address 192.168.0.1 255.255.255.0

Как видно, синтаксис очень прост - вместо "192.168.0.1 255.255.255.0" укажите нужный IP адрес и маску.

Включаем и выключаем сетевой интерфейс

Особенно нужная заметка для случая, когда Вы вводие "show interface" и в ответе видите, что на нужном Вам интерфейсе горит строчка:

FastEthernet 0/0 is administratively down

Т.е. интерфейс "загашен", или выключен, администратором. Как его включить?

Включить:

(config-if)# no shutdown

Выключить:

(config-if)# shutdown

Задание скоростного режима

(config-if)# speed 100

Для своего типа интерфейса режимы могут быть свои. Например, для FastEthernet доступны режимы:

100 : 100Мбит/с (принудительно)

10 : 10Мбит/с (принудительно)

auto : Авто-определение

Для гигабитного интерфейса добавляется еще 1000 - т.е. принудительно использовать гигабит.

Данная директива недоступня для VLAN-интерфейсов.

Задание дуплекса

(config-if)# duplex full

Соответственно:

full : полнодуплексовый режим - данные одновременно могут как приниматься, так и отправляться

half : полудуплекс - данные в один момент времени могут либо приниматься, либо отправляться, но не и то, и другое

auto : авто-определение - подсоединенные устройства согласуют между собой наиболее скоростной режим

Задаем MAC-адрес

(config-if)# mac-address 001A.2304.558A

Здесь немного необычно. Мы привыкли задавать каждый из байтов MAC-адреса отдельно (например, "00-1A-23-04-55-8A"). Cisco же "склеиваит" парные байты в слова и приведенный в примере MAC будет выглядеть вот так: "001A.2304.558A".

Задаем время жизни (TTL) для ARP

Сетевое оборудование хранит таблицу MAC-адресов с соответствующими им IP адресами (получается это через ARP) у себя в памяти. Однако через некоторое время бездействия сохраненная привязка MAC=IP должна быть удалена. Этот параметр указывает (в секундах) - сколько ждать перед удалением MAC из таблицы.

(config-if)# arp timeout 600

Windows: как скрыть компьютер из сетевого окружения

Актуально для: Windows XP/Vista/7; Server 2003/2008

Задача: скрыть компьютер из сетевого окружения, дабы он не был виден в этой папке на других компьютерах. Т.е. сделать так, чтобы в сетевом окружении наш компьютер не отображался.

Для этого воспользуемся утилитой net, идущей в комплекте с любой Windows-ОС.

Заметка. В Windows Vista/7/2008 эту команду нужно выполнять от имени администратора, например, запустив "Командая строка" (CMD) с пунктом "Запустить от имени администратора".

Скрываем

C:\> net config server /hidden:yes

Проверяем текущее состояние

C:\> net config server

Имя сервера                                       \\MY_COMP

Комментарий для сервера

Версия программы                                  Windows 7 Professional

Активный сервер на

        NetbiosSmb (MY_COMP)

        NetBT_Tcpip_{B2069634-6BF0-4522-BE80-5865AD84D4F7} (MY_COMP)

        NetBT_Tcpip_{342D3ACA-46C5-4764-BD69-C16AE9E72521} (MY_COMP)

Скрытый сервер                                    Yes

Максимальное число  пользователей                 20

Максимальное число открытых файлов в сеансе       16384

Время холостого хода сеанса (мин)                 15

Команда выполнена успешно.

Как видно - значение "Скрытый сервер" равно "Yes" - т.е. компьютер не будет виден в сетевом окружении.

Раскрываем (снова показываем)

C:\> net config server /hidden:no

Windows: как переименовать компьютер из командной строки в домене

Актуально для: Windows XP/Vista/7; Server 2003/2008

Задача: изменить имя компьютера (hostname) в ОС Windows XP, Vista или 7, а так-же серверных Server 2003 или 2008. Данный метод не подходит для контроллеров домена!

Первое, что нам нужно - это утилита netdom, которая входит в состав "Windows Server 2003 Administration Tools Pack". Взять сам пак можно отсюда: ссылка.

В Windows Server 2008 эта утилита идет из коробки и ничего дополнительно ставить не нужно. Однако это не распространяется на Windows 7.

Меняем имя компьютера

C:\> netdom renamecomputer COMPUTERNAME /newname:NEWNAME /userd:MYDOMAIN\DomainAdminUser passwordd:* /usero:COMPUTERNAME\Administrator /passwordo:* /reboot

Здесь

COMPUTERNAME : Текущее имя компьютера

NEWNAME : Новое имя машины

userd: ... : Имя пользователя администратора домена, под которым будет выполняться операция изменения имени

passwordd: * : Указывает, что нужно спросить пароль администратора домена в интерактивном режиме. Можете ввести здесь пароль вместо звездочки - и тогда спрашивать не будут

usero: ... : Имя пользователя локального администратора на том компьютере, с которым Вы собираетесь работать. Можно использовать то же имя доменного админа, если он имеет соответствующие права на компьютере.

passwordo: * : то-же, что и для доменного пароля

/reboot : Указывает, что удаленную машину нужно перезагрузить после изменения имени. Это требуется, т.к. иначе имя компьютера на машине не будет изменено

Подавать команду можно с любого компьютера, на котором есть утилита netdom. Например, с самого контроллера домена.

Windows Server: автоматическая очистка старых записей на DNS сервере

Актуально для: Windows Server 2003/2008

Обычное для домена Windows явление - когда компьютеры, входящие в сеть, автоматически регистрируют свои A-записи (а при возможности - и PTR-записи) на серверах DNS (как правило - по совместительству и контроллерах домена). Это позволяет легко находить компьютер по его имени независимо от того - в какой подсети этот компьютер находится.

Пока данный компьютер находится в сети и следит за своей записью - все в порядке. Но вот Вы меняете его имя хоста, переустанавливаете на нем ОС или просто списываете отслужившую свое железку. Что происходит? DNS-запись на это имя компьютера остается зарегистрированной на сервере DNS.

Более того, даже если появится другой компьютер с таким-же IP адресом - он не заметит, что на его же IP ссылается еще какая-то A-запись (вот только PTR-запись создать не сможет, но обычно это не смущает ни операционную систему, ни администратора).

Как бороться с этим? Относительно просто - можно установить интервал, через который необновляемые записи DNS-сервера Windows будут просто удалять. Таким образом будут подчищаться старые, уже недействительные ссылки.

Конечно, это будет занимать некоторое время (Вами же указанное). Т.е. автоматически запись не исчезнет сразу, как только Вы что-то сделаете с компьютером - пройдет указанное Вами время устаревания, прежде чем DNS-сервер поймет, что компьютера с таким именем больше не существует.

Итак, давайте зададим эту опицю для DNS-серверов Windows Server.

1) Открываем оснастку DNS-сервера

Пуск -> Администрирование -> DNS

2) Выбираем необходимый сервер (по-умолчанию - в списке только локальный сервер и присутствует)

3) Правой кнопкой на этом сервер и выбираем "Свойства"

4) Переходим на вкладку "Дополнительно"

5) Включаем опцию "Разрешить автоматическое удаление устаревших записей"

6) Задаем "Период очистки".

Заметка. Значение по-умолчанию "7 дней" довольно мало. Я довольствуюсь значением от 30 до 45 дней.

7) Жмем "ОК". На этом - все.

Теперь по истечении заданного периода времени, если зона не обновлялась - она будет автоматически удаляться с сервера DNS. Т.к. компьютеры Windows периодически тыкаются носом в DNS-сервер и обновляют свои зоны - активные записи будут жить, а устаревшие - удалятся.

Windows: Как узнать MAC-адрес сетевой карты

Актуально для: Windows XP/Vista/7, Server 2003/2008

Задача: узнать MAC-адрес сетевой карты в Microsoft Windows.

Для этого: откройте CMD (Пуск -> Выполнить -> "CMD" -> Enter).

В открывшейся консоли наберите:

C:> ipconfig /all

Вот примерный вывод такой команды (точнее - его частичка):

...

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Интегрированный контроллер Broadcom 440x 10/100

   Физический адрес. . . . . . . . . : 00-19-B9-5E-D1-D8

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 10.0.0.177(Основной)

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . : 10.0.0.250

   DNS-серверы. . . . . . . . . . . : 10.0.0.1

   Основной WINS-сервер. . . . . . . : 10.0.0.1

   NetBios через TCP/IP. . . . . . . . : Включен

Теперь обратите внимание на строчку "Физический адрес" у нужного Вам адаптера - это и есть MAC-адрес, который мы искали.

Узнаем имя компьютера по IP в Windows

Актуально для: Windows XP/Vista/7, Windows Server 2003/2008/R2

Итак, задача - узнать имя компьютера по его IP-адресу. Способов два:

1) Наиболее верный: через команду nbtstat:

C:\>nbtstat –a  192.168.0.1

где вместо 192.168.0.1 - подставить IP-адрес компьютера.

2) Через DDNS домена (Active Directory), где каждый компьютер должен регистрировать свое DNS-имя. Тип запроса - PTR (одно но - PTR запись может не соответствовать реальности из-за старости записи, отсутствии чистки старых записей на контроллере домена, меняющихся компьютерах и т.п.)

C:\>nslookup -type=ptr  192.168.0.1

Я предпочитаю способ номер 1.

Включаем маршрутизацию в Windows XP/Vista/7

Актуально для: Windows XP, Windows Vista, Windows 7

По-умолчанию в Windows XP маршрутизация выключена. Причем, если для Windows Server существует отдельно служба маршрутизации и удаленного доступа, которую можно установить и активировать через GUI, то в XP предполагается, что этого не нужно.

Это означает, что нет никакого пункта в панели управления или службы, которую можно запустить, которые включили бы маршрутизацию.

Однако не всем по карману покупать Windows Server для маршрутизации полдесятка компьютеров, и не у всех есть возможность выделить отдельно компьютер под маршрутизатор, на который можно было бы поставить Unix-систему.

Легальность

Я не только не нашел в лицензии Microsoft Windows XP упоминания, даже косвенного, что так делать нельзя, но даже нашел статью с сайта Microsoft с описанием решения проблемы, т.ч. все нормально - претензий к Вам по факту включения маршрутизации не будет.

Включаем

Открываем редактор рееста (regedit) и открываем следующий ключ реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Измените, а если не существует - создайте типа DWORD параметр по имени:

IPEnableRouter 

и присвойте ему значение 1.

После перезагрузки компьютера маршрутизация будет активна и компьютер сможет маршрутизировать пакеты через себя.

Управлять маршрутизацией можно через команду route.

Управляем

Как уже сказано - делается через route.

В следующем примере мы сообщим маршрутизатору, что все пакеты для сети 10.0.5.0/24 нужно отправлять через роутер 10.100.100.105:

C:\> route -p add 10.0.5.0 mask 255.255.255.0 10.100.100.105

А следующей командой удалим маршрут к сети 10.1.20.0/24:

C:\> route -p delete 10.1.20.0

Вывести текущие маршруты можно как в следующем примере:

C:\> route print

Ключик -p указывает утилите, что нужно сохранить маршрут перманентно - т.е. что мы хотим, чтобы маршрут работал и после перезагрузки системы. По-умолчанию, если этот ключ не указывать, то сделанные изменения будут потеряны при перезагрузке.