<div><blockquote class="gmail_quote" style="margin:0;margin-left:0.8ex;border-left:1px #ccc solid;padding-left:1ex"><br>requires a whole new plugin written from scratch, I haven't seen a<br>tcpdump like plugin. Therefore much more difficult and more time
<br>required, as well as more computationally intensive to watch all traffic<br>for another dhcpoffer, when actually you'll get the same result.</blockquote><div><br class="webkit-block-placeholder"></div><div><br class="webkit-block-placeholder">
</div><div>What about writing a custom plugin that uses this GPL prog to return the warning/critical/ok/pending values?</div><div><br class="webkit-block-placeholder"></div><div><a href="https://roguedetect.bountysource.com/">
https://roguedetect.bountysource.com/</a></div><div><br class="webkit-block-placeholder"></div><div>From the website:</div><div><br class="webkit-block-placeholder"></div><div>Rogue Detect sends <span class="caps">DHCPDISCOVER
</span> packets to the network and listens for <span class="caps">DHCP</span>
servers to respond and checks responses against authorized dhcp
servers. It’s written in Perl. By default it supports sending reports
to syslog, email, standard out or a customer script of your chosing.
Each reporting method has it’s own independent reporting level.</div><div><br class="webkit-block-placeholder"></div><div>Their wiki is here:  <a href="https://roguedetect.bountysource.com/wiki">https://roguedetect.bountysource.com/wiki
</a></div><div><br class="webkit-block-placeholder"></div><div>notes at the bottom of the wiki:</div><div><br class="webkit-block-placeholder"></div><div>"Sending a <span class="caps">DHCPDISCOVER</span> packet causes any 
<span class="caps">DHCPSERVERS</span> listning to allocate
an IP address for a few seconds, while they wait for the detector to <span class="caps">ACK</span>
their offer. Since we never do send an <span class="caps">ACK</span>, the IP is not allocated to us.
Hence, it should be ok to run this on the network.. but do so at your <span class="caps">OWN RISK</span>!!</div>


        <p>This package is nice in that you do not have to have a clear view of the network
to run it (ie, it works behind a switch). You DO have to be within broadcast range,
which usually means on the same subnet as the <span class="caps">DHCP</span> server. In some cases scaning
port 68 (67?) on every machine may be the better answer to finding dhcp servers, but
with this program, as apposed to a passive one like snort, you do not have to be able
to see traffic not destined for you."</p><div><br class="webkit-block-placeholder"></div><div><br class="webkit-block-placeholder"></div><div><br class="webkit-block-placeholder"></div><div><br class="webkit-block-placeholder">
</div></div>