Comment trouver un double DHCP sur votre réseau avec Wireshark
Un double DHCP sur votre réseau peut causer de sérieux problèmes, tels que des conflits d’adresses IP, une connectivité instable ou des interruptions de service. Ces incidents sont souvent causés par un serveur DHCP non autorisé ou mal configuré. Il est donc essentiel de trouver un double DHCP sur votre réseau rapidement pour rétablir un fonctionnement normal. Dans cet article, nous vous expliquons comment utiliser Wireshark pour identifier ce serveur perturbateur à l’aide de filtres précis.
1. Préparer l’environnement de capture Wireshark
Wireshark est un outil puissant et fiable pour analyser le trafic réseau. Avant de commencer, vous devez effectuer plusieurs préparations importantes. Tout d’abord, installez Wireshark sur une machine connectée au réseau problématique. Ensuite, configurez votre carte réseau en mode promiscuité. Cela permet de capturer tout le trafic environnant et d’obtenir des données pertinentes.
- Téléchargez et installez Wireshark sur une machine connectée au même réseau que les appareils impactés
2. Lancer la capture
Lancer la capture sur votre carte branché sur le réseaux qui pose problème. Utiliser la partie filtre pour isoler le traffic.
Pour isoler le trafic DHCP dans Wireshark, utilisez le filtre suivant : bootp
Ce filtre capture les trames DHCP, car elles utilisent le protocole BOOTP comme base. En particulier, les messages intéressants sont :
- DHCP Discover : envoyé par un appareil cherchant une adresse IP.
- DHCP Offer : réponses envoyées par les serveurs DHCP disponibles.
Une fois la capture commencée, il est crucial d’analyser les résultats avec précision. Par exemple, recherchez les trames DHCP Offer. Si vous remarquez que plusieurs serveurs répondent à une même requête DHCP Discover, il est fort probable qu’un serveur non autorisé soit actif sur le réseau.
Ensuite, identifiez l’origine du problème. Vous pouvez noter l’adresse MAC et IP du serveur DHCP perturbateur. Par conséquent, ces informations vous aideront à localiser physiquement ou administrativement l’appareil fautif.
Après avoir identifié la source, vous devez agir pour éliminer le problème. Si le serveur est un routeur ou un switch mal configuré, désactivez immédiatement son service DHCP via son interface d’administration. Cependant, si un poste ou un serveur exécute ce service par erreur, désactivez-le dans les paramètres du système. Enfin, vérifiez que le problème est résolu en capturant à nouveau le trafic réseau.
Précautions
- Segmentez votre réseau : Utiliser des VLANs permet d’éviter que des DHCP non autorisés perturbent plusieurs segments réseau.
- Surveillez régulièrement le trafic : Un monitoring proactif permet de détecter rapidement les anomalies.
- Documentez vos appareils réseau : Maintenez une documentation des serveurs DHCP autorisés pour éviter toute confusion.
Conclusion
Pour restaurer la stabilité de votre réseau, il est impératif de trouver un double DHCP sur votre réseau rapidement. Grâce à Wireshark et son filtre dédié au protocole DHCP, vous pouvez localiser efficacement la source du problème. Une fois le serveur non autorisé neutralisé, veillez à effectuer des audits réguliers et à bien documenter votre infrastructure réseau. Ainsi, vous minimiserez les risques de récurrence de ce type de dysfonctionnement.