Zjištění (a lokalizace) nepoctivého serveru DHCP v místní síti

Pro vyhledání serveru, který bude odesílat DHCPOFFER, můžete použít skript nmap. je to ve vaší vysílací doméně):

nmap --script broadcast-dhcp-discover 

Tím získáte název domény DNS, vaši IP, kdo ji nabídl, informace o pronájmu .. vše zábavné stuff.

Můžete také zahrnout seznam hostitelů, kteří mají něco společného s portem 67:

nmap --script broadcast-dhcp-discover -p67 [your network CIDR] 

Komentáře

• Testoval jsem to a domnívám se, že je to nesprávné. Nejprve se skript ukončí poté, co odpoví první server DNS. Pokud ' Hledáte nepoctivý DNS, pak může váš normální server někdy reagovat rychleji a vy ' získáte falešný zápor. Zadruhé, skript nmap broadcast- dhcp-discover používá pevnou adresu MAC (0xDE: AD: CO: DE: CA: FE) a nepoctivý server DNS by jednoduše ignoroval požadavky z této adresy. Zatřetí, skenování nmap vaší sítě CIDR bude fungovat, pouze pokud si darebácký server zvolí stejnou IP síť jako vy (a proč by to udělali?)
• Souhlasím s @ hackerb9. Toto ' opravdu nedělá to, co bylo požadováno, protože ' t neposílá odpovědi, aby našel co nejvíce serverů DHCP , čeká se jen na odpověď prvního.
• Všechny odpovědi můžete vidět, pokud otevřete jiný terminál a spustíte tam tcpdump, například sudo tcpdump -nelt udp port 68 | grep -i " boot. * odpověď "

Odpověď na tuto otázku bude do značné míry záviset na tom, jak dobrý je software pro správu ve vaší síti.

Za předpokladu, že je to rozumné, říkám, že toto měli byste to udělat tak, že se podíváte na MAC adresu paketů z nepoctivého serveru a poté zkontrolujete rozhraní pro správu vašich přepínačů, abyste zjistili, ke kterému portu je MAC adresa připojena. Poté sledujte z portu na fyzický port a podívejte se, co je připojeno …

Pokud nemáte možnost mapovat z adresy MAC -> přepnout port -> fyzický port, může to být trochu obtížné, zvláště pokud osoba, která provozuje server, nechce být nalezena.

Pomocí sítě nmap (nmap -sP -v -n -oA ping_sweep [vaše síť) můžete provést rychlé pingování vaší sítě zde]), který vám dá mapu IP adres na MAC adresy, pak (za předpokladu, že tam je váš darebák) můžete port skenovat IP adresu a zjistit, jestli vám o tom něco říká (např. název stroje z portů SMB) …

Komentáře

• Tato odpověď na to, jak vyhledat, nikoli jak detekovat. K detekci můžete použít snort \ any other IDS \ custom script a výstraha

Právě jsem našel nepoctivý dhcp server na mé domácí lince klasickou metodou pokusu a Chyba. Při pohledu na vlastnosti sítě jsem zjistil, že někteří klienti dhcp dostali IP adresu v nepoctivosti 192.168. Rozsah 1.x namísto rozsahu 192.168.3.x, který jsem nakonfiguroval na svém serveru dhcp.

Nejprve jsem měl podezření na dev pc, který hostí některé virtuální stroje; konfigurace je složitá a kdo ví, že v jednom z těchto virtuálních serverů může být nějaký server dhcp. Stačí vytáhnout síťový kabel a zjistit, zda ten dhcp klient nyní získá platnou adresu IP. Žádné zlepšení, škoda.

Teď jsem měl podezření, že „chytrá“ televize, její samsung a tato značka je známá tím, že špehuje diváky. Vytáhl svůj síťový kabel. Nic štěstí však.

Potom, když jsem se rozhlédl kolem sebe, jsem myslel na ten malý starý adsl modem se 4 ethernetovými porty, který jsem před několika měsíci dostal od přítele, abych vyměnil nefunkční ethernetový přepínač. Vytáhl 12voltový adaptér. Bingo! Problémový dhcp klient nyní získá platnou ip adresu! Také jsem si uvědomil, že dhcp potíže v našem domě začaly před nějakou dobou.

Souhlasím, nebyl jsem dost chytrý na to, abych si pohrával s nástroji, jako je nmap nebo dráty. Ale neuspěl Sherlock Holmes s odpočtem a indukcí?

PS

S narovnanou kancelářskou sponkou jsem provedl obnovení továrního nastavení na starém modemu adsl, aby fungovalo výchozí heslo linkysys, a deaktivoval dhcp server na něm.

Pomocí wirehark můžete poslouchat odpovědi dhcp na požadavky a pak přejít na ARP vašeho přepínače vyhledejte adresu a umístění. Můžete to udělat s většinou konfigurovatelných přepínačů.