OT: Zajímavost s DHCP

Pavel Troller patrol na sinus.cz
Sobota Duben 24 14:16:03 CEST 2010


Zdravím,
  dnes se mi tu přihodila velmi podivná záležitost, jejíž podstata mi není
zcela jasná, ač se v oblasti IT nepovažuji za úplného amatéra. Posuďte sami:
  Připojil jsem na chalupě svůj notebook ke svému WiFi AP. Wifi AP je připojen
k mému routeru (Cisco 2621), který je dále připojen do Internetu opět pomocí
WiFi, tentokráte coby client, k síti jakéhosi ISP z rodiny Rio Media (dříve
to býval Raslko.net). Protože jsem už měl určité problémy s bezpečností provozu
v této síti (odposlech VoIP), je naprostá většina provozu přenášena šifrovaným
tunelem mezi výše řečeným routerem Cisco a druhým routerem téže značky 
(tentokráte typu 3640), který mám v Praze. Doposud popsaná technologie je plně
pod mojí kontrolou, nakonfigurovaná a provozovaná zcela bez cizího zásahu.
  Řečený notebook běží Linux a DHCP bylo udržováno prostřednictvím klienta
dhcpcd (většina distribucí používá dnes dhclient, ale mě se zdá dhcpcd lepší).
Při spouštění dhcp clienta jsem nepoužíl volbu -R, která zabraňuje přepisování
/etc/resolv.conf údaji získanými z DHCP - nepovažoval jsem to za nutné, neboť
můj AP tyto údaje nemá poskytovat a nadto kdyby je poskytoval, budou informovat
o těchtýž DNS, jaká mám nastavena přímo staticky v notebooku (opět mnou 
provozované 2 DNS servery pro moji potřebu).
  Za zhruba hodinu připojení se projevily potíže s DNS. Resolving nebyl možný,
jakýkoliv dotaz končil na chybě REFUSED. Samozřejmě jsem jako první prověřil
resolv.conf a nevěřil jsem svým očím - byl zcela změněn. Byly tam nastaveny
2 mně zcela neznámé DNS (bohužel jsem si je nepoznamenal před tím, než jsem
tento soubor obnovil) a doména byla nastavena na hodnotu none.de, jakož i
direktiva search. Doménu none.de neznám a nikdy jsem s ní neměl sebemenší
interakci :-). Kupodivu však existuje. Její DNS však nejsou těmi, které jsem
měl nastaveny v resolv.conf.
  Tou dobou byl k téže WiFi připojen ještě jeden notebook mé dcery, se stejným
OS, který však takto zasažen nebyl. Používá ale odlišnou verzi dhcpcd, trošku
novější.
  Provedl jsem průzkum všech komponent v cestě (notebooku, WiFi AP, routeru,
WiFi AP clienta a routeru v Praze) a nikde jsem neshledal nic podezřelého - 
stopy průniku, změnu dat atd. Zajímavé také je, že se změnilo nastavení DNS,
ale IP adresa zůstala nastavena správně.
  Pak jsem provokativně znovu spustil dhcpcd bez parametru -R, bude-li se
situace opakovat. Dosud k tomu nedošlo.
  Tuší někdo, jak k tomu mohlo dojít ? Já to skutečně zatím nechápu :-).

  Zdraví Pavel.


More information about the Hw-list mailing list