Вопрос по DHCP в локалке

[Bonusfrag]

Доброго времени суток!

Мож кто подскажет по проблеме:

корпоративная сеть: есть готовое решение - сервак DHCP, DNS и он же VPN в инет. В DHCP регистрация без привязки к маку, при этом одному и тому же имени выдаётся однажды зарегенный ip (преимущественно).

Складывается ощущение, что в сети есть машина, которая рерулярно регится с чужим именем в DNS... Т.е. работает внутренний сайт по имени... потом раз - и уже не работает... открываешь по ip - всё ок. Делаешь трассер до имени - а имя (специально выбиралось непопулярное/особое, чтоб случайно кто не сделал себе такое же) разрешается в другой ip.

Бывают ли такие вирусы, если да, то киньте линк почитать... Заранее спс!

[Bonusfrag]

Если бы знал, какая машина так делает - уже бы проверили/полечили... как-никак есть каспер лицензионный 6й на всех машинах... (если где что не пропустили или ключ/базы не забыли обновить).

т.е. мне надо принципиально знать:
1) бывает ли такое
2) посмотреть описания реальных примеров, чтоб быть готовым)

отдельную тему не хотел создавать...

[MedvedD]

Бывает, и даже не вирус - просто излишне любопытный пользователь.
Проверьте, с какого сервера ДНС берётся имя - "nslookup имя_сайта".

И как это ДХЦП без привязки к МАКу?

[Bonusfrag]

MedvedD? а можете привести примеры/описания таких виров? Судя по скорости подмены - это не пользователь любопытный... после перерегистрации сайта в DNS оч.быстро происходит подмена.
Без привязки - знач.без привязки. т.е. один ПК сломался, дали другой, поставили на нём имя старого - получили ip старого ПК по DHCP.
а какой именно DNS работает - гляну, но думаю, что наш один единственный, т.к. косяк проявляется на машинах с регулярно по инету обновляемым лиц.Каспером 6, причем на части адрес по DHCP, а на части адрес и DNS, полученные по DHCP, были пробиты вручную. Одним словом, вероятность подмены DNS оч.мала. А вот зарегить в нём всякую ерунду, как вы понимаете, не является сложным в нашей сетке...

NRA, OpenDNS в локальной сети)))? повторюсь - это локалка и инет не на всех ПК есть. Ну и как говорится - не стоит удаляться от темы.
Меня интересуют вирусы с такими возможностями - надо убедиться, что такое действительно есть и посмотреть, что ещё идет в букете, кроме таких левых регистраций...

[Kuzz]

Без привязки - знач.без привязки. т.е. один ПК сломался, дали другой, поставили на нём имя старого - получили ip старого ПК по DHCP.

А выдать машине с сайтом статический IP (и исключить его из диапазона, раздаваемого DHCP).
В случае "ПК сломался" все равно приходится на новом править настройки

[Bonusfrag]

да ясно это всё... но я кучу времени буду ждать, пока те, кто отвечает за сервак, сделают исключение и проч.) Дело то не в исключении... мой ip никто не захватывает... а лишь регит в DNS паразитную запись..., т.е. исключение бы тут не помогло.

Ну нету реги по маку, нету. а ДНСу вообще плевать на МАК. Т.к. нет объявления о конфликте нетбиос-имен, то делаю вывод, что комп, добавляющий паразинтую запись, имеет одно нитбиос-имя, в ДНС регит абсолютно другое.

ЗЫ: не нуб я... топик в этой теме - т.к. перенесён сюда модератором из другой темы.
прав на настройку этого dhcp-dns'a у меня нет, да и не будут его трогать.
Самое реальное, что возможно - найти эту машину. Но искать её тож особо не будут, пока не покажу, что это вирус...
поэтому мне надо всего лишь пару линков на описания вирей, а не советы по настройке...

[pig]

А не факт, что вирус. На машине с сайтом сколько сетевых подключений в системе?

[Eosfor]

Как один из вариантов - не верные настройки DHCP. К примеру, каке параметры вы им раздаете (ip, маска, адрес днс сервера)?
Потом, это происходит на одной машине или на многих?

[Bonusfrag]

А не факт, что вирус. На машине с сайтом сколько сетевых подключений в системе?

два. Одно смотрит в одну сеть, другое - в другую. (разные диапазоны ip).
для одной сети (1) - это просто ПК с сайтом (в этой сети и происходит подмена в DNS), для другой (2) - это DNS, шлюз, контроллер домена.

Да хватит уже про DHCP... нормально он работает, нормально...
Подмена проявляется на многих (на всех, на которых проверял) машинах 1й сети, причем машины эти защищены каспером 6.0, обновляемым автоматом через инет.

Если никто такого вируса конкретно не знает, и как поискать - тоже не знает, так и скажите.
Если бы мне надо было DHCP настроить, я бы не в конференции про вирусы регился...

[Eosfor]

О. Про контроллер домена всплыло . Че ж вы раньше то молчали.
И потом, вы дали слишком мало информации. Пока все выглядит как, например, неверно настроеный клиент. Или ДНС сервер. Поскольку чтобы перерегить ДНС ия в домене, надо пользовательский комп переименовать, а чтобы это сделать - нужно иметь права доменного админа. И после переименования - перезагрузка. Вы бы это обязательно заметили.
Посему, нужно обратить внимание, происходит ли это на одной машине или на нескольких.
желательно привести ipconfig /all на проблемной машине а так же адрес днс сервера, и, все таки что раздает dhcp

[Bonusfrag]

Eosfor, ну есть домен. В нем нет Dhcp, есть статика и DNS с отключенной регистрацией ПК, и ни одного сайта нет в этом сегменте. Этот сегмент(2) для сети (1), в которой проблема есть, - это процент от всех ПК. И там (в 1) как раз нет домена - там набор рабочих групп (но есть DNS и DHCP). И каждый там сам себе админ (т.е. многие под админами сидят)... И для (1) сеть (2) не существует вовсе.... для (1) сеть (2) - это всего лишь ПК с сайтом.

И не в настройках дело - несколько лет всё ОК работало (большая корпоративная сеть(1)). Ну и отвечал - на нескольких это происходит.

Короче, гораздо ближе к теме вот эта ссылка: http://bugtraq.ru/library/books/atta...pter04/03.html
Есть ли такие вирусы? (которые, например, вторую схему реализуют?)
Ну и вопрос: может ли хост зарегить имя без перезагрузки (просто путем отправки "левого" регистрационного запроса на DNS) ?

//давайте тему неверных настроек уже закроем, а? надоело объяснять, что не в них дело.

[pig]

два. Одно смотрит в одну сеть, другое - в другую. (разные диапазоны ip).
для одной сети (1) - это просто ПК с сайтом (в этой сети и происходит подмена в DNS), для другой (2) - это DNS, шлюз, контроллер домена.

Неверный IP-адрес, который вылезает, - он случайно не от второй сетевой карты?

[Eosfor]

Я о таких вирусах не слышал. Но думается мне для них нет особого смысла это делать, поскольку процесс этот довольно громоздкий. Есть способы проще.

Для начала на хостах стоит проверить файл "%windir%\system32\drivers\etc\hosts" - нет ли там чего ненужного. кроме того можно посмотреть в "ipconfig /displaydns" на предмет записей относительного вашего имени сайта.
если некий компьютер не входит в домен, то его имя не будет регистрироваться в днс автоматически, поскольку для этого необходима авторизация. если входит - то сможет. однако для этого нужно менять имя машины, что позвоено только domain admins. это по умолчанию.

[Bonusfrag]

pig, да (точнее не совсем)...
Сегодня разбирался с совсем другой проблемой, и на сервере заметил, что ip, который периодически вылезает вместо нужного - это ip интерфейса с именем ''внутренний'' в RAS (под словом Шлюз в цитате подразумевается NAT через VPN). Только ''внутренний'' - это не сетевуха...
Т.е. в RAS интерфейсы ''замыкание на себя'' ''внутренний'' ''VPN'' ''внешняя сеть-сетевуха1'' ''внутренняя сеть-сетевуха2''...
Как так получается, что именно адрес интерфейса ''внутренний'' регится в DNS того сервера (сети 1)...? хз... Точнее, походу, они регятся там поочереди, то ip интерфейса ''внутренний'', то ip интерфейса ''внешняя сеть-сетевуха1''

Перед всеми извиняюсь...дело действительно оказалось в настройке.... (

[MedvedD]

Case closed