The best way?<br><br>I'd think the 'stuffed' laptops would have the IP of the server providing IP's. Simple MAC address -> switch port search and subsequent lockdown of that switch port should tell you who your idiot is by listening to who is screaming about the crappy network the loudest.
<br><br>The plugin check_dhcp could be used globally on all monitored hosts in the same fashion as check_ping. Problem there is only if the offending dhcp box isn't monitored by nagios.<br><br>Good luck.<br><br>-Marc<br><br>
<div><span class="gmail_quote">On 8/16/06, <b class="gmail_sendername">Hari Sekhon</b> <<a href="mailto:hpsekhon@googlemail.com">hpsekhon@googlemail.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div>


  

<div bgcolor="#ffffff" text="#000000">
Hari Sekhon wrote:
<blockquote cite="http://mid44CDE55B.9000200@googlemail.com" type="cite">
  
  
  
  
Eli Stair wrote:
  <blockquote cite="http://midC0EF9113.2CC4C%25estair@ilm.com" type="cite">
    <pre>Use CPAN's Net::DHCP::Packet to quickly create a DHCPDISCOVER packet, and<br>IO::Socket::INET to read raw incoming data to port 68, count the number of<br>DHCPOFFER's you get.  Set your script output to proper OK/WARN/CRIT state
<br>and the number/names of "rogue" servers in the text.<br><br>Just a suggestion. <br><br>/eli<br><br><br>On 7/28/06 9:40 AM, "Hari Sekhon" <a href="mailto:hpsekhon@gmail.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
<hpsekhon@gmail.com></a> wrote:<br><br>  </pre>
    <blockquote type="cite">
      <pre>I was wondering what the best way of detecting a rogue dhcp server on<br>the network is.<br><br><br>I ask because some idiot at work installed vmware with it's dhcp server<br>which stuffed the company laptops which rely on dhcp since they got sent
<br>to the wrong subnet.<br><br>Nagios actually drew my attention to this when troubleshooting because<br>it said 2 DHCP offers received.<br><br>I'm thinking about writing a shell wrapper to parse the output from the<br>check_dhcp plug-in and raise a warning status if it returns more than 1
<br>dhcp offer.<br><br>Any other ideas?<br><br><br>Hari<br><br><br>-------------------------------------------------------------------------<br>Take Surveys. Earn Cash. Influence the Future of IT<br>Join SourceForge.net's Techsay panel and you'll get the chance to share your
<br>opinions on IT & business topics through brief surveys -- and earn cash<br><a href="http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV</a><br>_______________________________________________<br>Nagios-users mailing list<br><a href="mailto:Nagios-users@lists.sourceforge.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
Nagios-users@lists.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/nagios-users" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">https://lists.sourceforge.net/lists/listinfo/nagios-users
</a><br>::: Please include Nagios version, plugin version (-v) and OS when reporting<br>any issue. <br>::: Messages without supporting info will risk being sent to /dev/null<br><br>    </pre>
    </blockquote>
    <pre>  </pre>
  </blockquote>
or even easier than that perl I could use a bash wrapper to check_dhcp
and check the output from that and raise the warning code if more than
1 offer was received, it seems quicker and easier which is probably
what I will do thinking about it....<br>
  <br>
-h<br>
  <br>
</blockquote>
<br>
<br>
Does anybody have any other ideas regarding checking for rogue DHCP
servers on a network. Really there should be an option to this plugin
to check if there is more than N offers received and also there should
be an option to make sure that the offer is received from the correct
server to ensure it hasn't been usurped by another dhcp server. There
is already an option to check the address is in the right range, which
I guess amounts to a similar thing. If this option can be present then
the option to make sure that the address was supplied by the correct
server/servers isn't too far a stretch.....<br>
<br>
<br>
Hari<br>
<br>
</div>


</div><br>-------------------------------------------------------------------------<br>Using Tomcat but need to do more? Need to support web services, security?<br>Get stuff done quickly with pre-integrated technology to make your job easier
<br>Download IBM WebSphere Application Server v.1.0.1 based on Apache Geronimo<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://sel.as-us.falkag.net/sel?cmd=lnk&kid=120709&bid=263057&dat=121642" target="_blank">
http://sel.as-us.falkag.net/sel?cmd=lnk&kid=120709&bid=263057&dat=121642</a><br><br>_______________________________________________<br>Nagios-users mailing list<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:Nagios-users@lists.sourceforge.net">
Nagios-users@lists.sourceforge.net</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="https://lists.sourceforge.net/lists/listinfo/nagios-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/nagios-users
</a><br>::: Please include Nagios version, plugin version (-v) and OS when reporting any issue.<br>::: Messages without supporting info will risk being sent to /dev/null<br><br></blockquote></div><br>