我们办公楼上的计算机(通过 BIOS)配置为启动 PXE作为首选。
这是一个有用的设置,只要在需要时,我们可以远程恢复无法启动的机器和所有这些东西。
但是,如果有人设置了恶意 PXE 服务器,机器可能会在下次重新启动时受到威胁(即:自动 Windows 重新启动),因此必须能够检测到此类服务器。
我可以使用哪些方法来测试我的本地网络上是否运行了任何PXE 服务器?
如果可能,获取一些信息(如 IP 或 MAC)来定位此恶意服务器可能会很好。
假设:
如果 PXE (TFTP) 服务器信息通过 DHCP 选项提供给客户端,那么您可能需要防止有人在网络中设置流氓 DHCP 服务器以向客户端提供恶意 TFTP 服务器的地址。DHCP snooping可能对您有所帮助:它只允许在已被网络管理员配置为信任的端口中使用 DHCP 回复消息(例如 DHCPoffer)。这些受信任的端口应该是合法 DHCP 服务器连接到网络的端口,或者预期来自合法 DHCP 服务器的 DHCP 回复的端口。
除了有效防止流氓 DHCP 服务器在您的网络中工作之外,如果您监视发生 DHCP 侦听违规时生成的日志消息,它还允许您检测此类服务器以及它们的连接位置
您可以为此使用 nmap;在这里阅读我的答案:
https://serverfault.com/questions/993783/how-can-i-check-my-pxe-server-configuration/
收集不同的答案并通过例如 MAC 地址进行过滤,您可以轻松查明是否存在流氓 PXE 服务器。
应该考虑 PXE 信息(NBP 和 TFTP 服务器 IP)可以位于 DHCPOFFER 数据包(file和next-server字段)的主体中,也可以作为相应的 DHCP 选项。