Hvordan finder vi og finder en skurk DHCP-server på vores lokale netværk?
Kommentarer
- For at få et godt svar vil jeg foreslå, at du tilføjer nogle flere oplysninger. Hvor stort netværk er det? Hvilken type netværksudstyr har du? Hvad har du allerede prøvet?
- Hej.Nej, spørgsmålet skal være abstrakt og bør ikke være begrænset til et enkelt scenarie på et bestemt netværk, så det kan diskuteres bredt. Det er ment som dette .
Svar
Du kan bruge et nmap-script til at finde en server, der sender DHCPOFFER (så længe det er i dit udsendelsesdomæne:
nmap --script broadcast-dhcp-discover Dette giver DNS-domænenavn, din IP, der tilbød det, leasingoplysninger … alt det sjove ting.
Du kan også inkludere en liste over værter, der har noget at gøre med port 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Kommentarer
- Jeg har testet dette, og jeg tror, det er forkert. For det første afsluttes scriptet, efter at første DNS-serveren reagerer. Hvis du ' på udkig efter en useriøs DNS, så reagerer din normale server muligvis hurtigere, og du ' får en falsk negativ. For det andet udsendes nmap-scriptet- dhcp-discovery bruger en fast MAC-adresse (0xDE: AD: CO: DE: CA: FE), og en useriøs DNS-server vil simpelthen ignorere anmodninger fra den adresse. For det tredje fungerer en nmap-scanning af dit netværk CIDR kun, hvis den useriøse server tilfældigvis valgte det samme IP-netværk som dig (og hvorfor ville de?)
- Jeg er enig med @ hackerb9. Dette ' vil ikke virkelig gøre det, der er blevet bedt om, da det ' ikke fortsætter med at sende svar for at finde så mange DHCP-servere som muligt , venter kun til den første svarer.
- Du kan se alle svar, hvis du åbner en anden terminal og kører der tcpdump, for eksempel sudo tcpdump -nelt udp port 68 | grep -i " boot. * svar "
Svar
Svaret på dette vil i høj grad afhænge af, hvor god managementsoftwaren på dit netværk er.
Under forudsætning af at det er rimeligt, vil jeg sige, at dette wold gøres ved at se på MAC-adressen på pakkerne fra den rogue server og derefter gennemgå styringsgrænsefladen for dine switche for at se, hvilken port den MAC-adresse er tilsluttet. Spor derefter fra porten til den fysiske port og se, hvad der er tilsluttet …
Hvis du ikke har nogen måde at kortlægge fra MAC-adresse -> skift port -> fysisk port, kan dette være lidt besværligt, især hvis den person, der kører serveren, ikke ønsker at blive fundet.
Du kan foretage en hurtig ping-fejning af dit netværk ved hjælp af nmap (nmap -sP -v -n -oA ping_sweep [dit netværk her]) at “d giver dig et kort over IP-adresser til MAC-adresser, så (forudsat at din slyngel er der), kan du portscanne IP-adressen og se om den fortæller dig noget om det (f.eks. maskinnavn fra SMB-porte) …
Kommentarer
- Dette svar, hvordan man finder, ikke hvordan man finder. Du kan bruge snort \ ethvert andet IDS \ tilpasset script til at opdage og alarm
Svar
Fandt lige den rogue dhcp-server på mit hjemland ved den klassiske metode til prøve og Fejl. Når jeg kiggede på netværksegenskaberne, fandt jeg ud af, at nogle dhcp-klienter fik en ip-adresse i rogue 192.168. 1.x rækkevidde i stedet for 192.168.3.x rækkevidde, som jeg konfigurerede i min dhcp server.
Først mistænkte jeg en dev pc, der er vært for nogle virtuelle maskiner; konfigurationen er kompleks, og hvem ved, at der muligvis er en eller anden dhcp-server i en af disse vm “s. Træk bare netværkskablet og se om den dhcp-klient nu får en gyldig ip-adresse. Ingen forbedring, alt for dårlig.
Nu formodede jeg, at det “smarte” tv, det er en samsung, og det mærke er kendt for at have spioneret på seerne. Trak i netværkskablet. Ikke held, dog.
Så efter nogle kigge rundt tænkte jeg på det lille gamle adsl-modem med 4 Ethernet-porte, som jeg fik for nogle måneder siden fra en ven til at udskifte en ødelagt Ethernet-switch. Trak i 12 volt adapterkablet. Bingo! Problemet dhcp-klienten får nu en gyldig ip-adresse! Jeg indså også, at dhcp problemer i vores hus startede for et stykke tid siden.
Jeg var enig, jeg var ikke smart nok til at fikle med værktøjer som nmap og / eller wiresnark. Men lykkedes det ikke Sherlock Holmes med deduktion og induktion?
PS
Med en udrettet papirclips foretog jeg en fabriks nulstilling på det gamle adsl-modem for at få standardlinksys-adgangskoden til at fungere og deaktiverede dhcp server på den.
Svar
Du kan bruge wireshark til at lytte til dhcp-svar på anmodninger og derefter gå til din switch “s arp tabel for at finde adresse og placering. Du kan gøre dette med de mest konfigurerbare kontakter.