<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <p>Hi all,</p>
    <p>I agree with Kari; it could be useful to have an option which
      permits to ignore the DHCP DECLINE messages like the one present
      in ISC dhcpd ("declines" keyword in config file: <a
        href="https://www.isc.org/wp-content/uploads/2018/02/dhcp44.html">https://www.isc.org/wp-content/uploads/2018/02/dhcp44.html</a>).<br>
      Another option it could be to implement on server side a DHCP
      DECLINE per source MAC rate limiting (or a kind of Fail2ban for
      DECLINE messages) because usually the L2 switch support DHCP rate
      limiting accordint to the switch port.</p>
    <p>Thanks,<br>
      Alberto<br>
    </p>
    <div class="moz-cite-prefix">Il 18/04/2019 09:08, Mohammed Khallaf
      ha scritto:<br>
    </div>
    <blockquote type="cite"
cite="mid:CAHzwxC9u6ph5+K0yM=0p9wYOKcAiPcn-AoCdcVPn8jkq5Q6i-w@mail.gmail.com">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div dir="ltr">
        <div>Hello Kari,</div>
        <div><br>
        </div>
        <div>I'm not sure about Kea, Kea hooks, or if someone is going
          to write a Kea hook for that, but there is no DHCP server that
          I know about that implements this outside-of-the-box.
          Actually, most or all effective solutions in
          network-originating layer 2 attacks are basically built on
          networking devices software and/or network monitoring
          software, or the least: manual troubleshooting.</div>
        <div><br>
        </div>
        <div>If your switching equipment has a feature to help, then use
          it. If not, you can set a network monitoring software that
          analyzes DHCP DISCOVER messages and alert you if the rate from
          a specific MAC is abnormal, or the general rate on the network
          is abnormal. SolarWinds and PRTG come to mind.</div>
        <div><br>
        </div>
        <div>--</div>
        <div>MK<br>
        </div>
        <div><br>
        </div>
      </div>
      <br>
      <div class="gmail_quote">
        <div dir="ltr" class="gmail_attr">On Wed, Apr 17, 2019 at 2:56
          PM Kari Karvonen <<a href="mailto:kari.karvonen@kasenet.fi"
            moz-do-not-send="true">kari.karvonen@kasenet.fi</a>>
          wrote:<br>
        </div>
        <blockquote class="gmail_quote" style="margin:0px 0px 0px
          0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello<br>
          <br>
          If there is faulty DHCP-client on a network that keeps
          requesting IP's<br>
          and after receiveing IP-offer client sends DHCPDECLINE and
          DHCP-server<br>
          marks IP-address as declined for 24 hours. If client keeps
          repeating<br>
          this, address after address will be marked as declined and
          soon entire<br>
          DHCP-pool is exhausted.<br>
          <br>
          I looked Kea 1.5.0 user guide and found that it is possible to
          shorted<br>
          decline time<br>
          <br>
            "decline-probation-period": 3600<br>
          <br>
          But is there something else on dhcp-server side to prevent
          this kind of<br>
          behaviour?<br>
          <br>
          -- <br>
          Kari Karvonen<br>
          Network specialist<br>
          +358445557360<br>
          <a href="http://www.kasenet.fi" rel="noreferrer"
            target="_blank" moz-do-not-send="true">www.kasenet.fi</a><br>
          _______________________________________________<br>
          Kea-users mailing list<br>
          <a href="mailto:Kea-users@lists.isc.org" target="_blank"
            moz-do-not-send="true">Kea-users@lists.isc.org</a><br>
          <a href="https://lists.isc.org/mailman/listinfo/kea-users"
            rel="noreferrer" target="_blank" moz-do-not-send="true">https://lists.isc.org/mailman/listinfo/kea-users</a><br>
        </blockquote>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
Kea-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Kea-users@lists.isc.org">Kea-users@lists.isc.org</a>
<a class="moz-txt-link-freetext" href="https://lists.isc.org/mailman/listinfo/kea-users">https://lists.isc.org/mailman/listinfo/kea-users</a>
</pre>
    </blockquote>
  </body>
</html>