Wie würden wir einen nicht autorisierten DHCP-Server in unserem lokalen Netzwerk erkennen und lokalisieren?
Kommentare
- Um eine gute Antwort zu erhalten, würde ich vorschlagen, dass Sie weitere Informationen hinzufügen. Wie groß ist ein Netzwerk? Welche Art von Netzwerkausrüstung haben Sie? Was haben Sie bereits versucht?
- Hallo. Nein, die Frage sollte abstrakt sein und nicht auf ein einzelnes Szenario in einem bestimmten Netzwerk beschränkt sein, damit sie in groben Zügen diskutiert werden kann .
Antwort
Sie können ein nmap-Skript verwenden, um einen Server zu finden, der DHCPOFFER sendet (solange es befindet sich in Ihrer Broadcast-Domain):
nmap --script broadcast-dhcp-discover Dadurch erhalten Sie den DNS-Domainnamen, Ihre IP-Adresse, die ihn angeboten hat, Lease-Informationen
Sie können auch eine Liste von Hosts einfügen, die etwas mit Port 67 zu tun haben:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Kommentare
- Ich habe dies getestet und glaube, dass es falsch ist. Zuerst wird das Skript beendet, nachdem der erste DNS-Server geantwortet hat. Wenn Sie ' Wenn Sie nach einem nicht autorisierten DNS suchen, reagiert Ihr normaler Server manchmal schneller und Sie ' erhalten ein falsches Negativ. Zweitens wird das nmap-Skript gesendet. dhcp-Discovery verwendet eine feste MAC-Adresse (0xDE: AD: CO: DE: CA: FE), und ein nicht autorisierter DNS-Server würde Anforderungen von dieser Adresse einfach ignorieren. Drittens funktioniert ein nmap-Scan Ihres Netzwerk-CIDR nur, wenn der Rogue-Server zufällig dasselbe IP-Netzwerk wie Sie ausgewählt hat (und warum?)
- Ich stimme @ hackerb9 zu. Dies ist nicht ', was wirklich gefragt wird, da ' nicht ständig Antworten sendet, um so viele DHCP-Server wie möglich zu finden Warten Sie nur, bis der erste antwortet.
- Sie können alle Antworten sehen, wenn Sie ein anderes Terminal öffnen und dort tcpdump ausführen, z. B. sudo tcpdump -nelt udp port 68 | grep -i " boot. * Antwort "
Antwort
Die Antwort darauf hängt weitgehend davon ab, wie gut die Verwaltungssoftware in Ihrem Netzwerk ist.
Unter der Annahme, dass dies vernünftig ist, würde ich dies sagen Überprüfen Sie dazu die MAC-Adresse der Pakete vom Rogue-Server und überprüfen Sie anschließend die Verwaltungsschnittstelle für Ihre Switches, um festzustellen, mit welchem Port diese MAC-Adresse verbunden ist. Verfolgen Sie dann vom Port zum physischen Port und sehen Sie, was verbunden ist …
Wenn Sie keine Möglichkeit haben, eine Zuordnung von der MAC-Adresse -> Switch-Port -> physischem Port vorzunehmen, kann dies ein bisschen sein schwierig, insbesondere wenn die Person, auf der der Server ausgeführt wird, nicht gefunden werden möchte.
Mit nmap (nmap -sP -v -n -oA ping_sweep [Ihr Netzwerk) können Sie einen schnellen Ping-Sweep Ihres Netzwerks durchführen hier]), dass „Sie eine Zuordnung von IP-Adressen zu MAC-Adressen erhalten würden, dann könnten Sie (vorausgesetzt, Ihr Schurke ist dort) die IP-Adresse portieren und prüfen, ob sie Ihnen etwas darüber sagt (z. B. Computername von SMB-Ports). …
Kommentare
- Diese Antwort zeigt, wie man sucht, nicht wie man erkennt. Sie können snort \ jedes andere IDS \ benutzerdefinierte Skript verwenden, um zu erkennen und Warnung
Antwort
Ich habe gerade den betrügerischen DHCP-Server auf meinem Heim-LAN nach der klassischen Testmethode gefunden und Fehler. Beim Betrachten der Netzwerkeigenschaften stellte ich fest, dass einige DHCP-Clients eine IP-Adresse im Rogue 192.168 erhalten haben. 1.x-Bereich anstelle des 192.168.3.x-Bereichs, den ich auf meinem DHCP-Server konfiguriert habe.
Zuerst vermutete ich einen Entwicklungs-PC, auf dem einige virtuelle Maschinen gehostet werden. Die Konfiguration ist komplex und wer weiß, dass möglicherweise ein DHCP-Server in einem dieser VMs vorhanden ist. Ziehen Sie einfach am Netzwerkkabel und prüfen Sie, ob dieser DHCP-Client jetzt eine gültige IP-Adresse erhält. Keine Verbesserung, schade.
Jetzt vermutete ich, dass es sich bei dem „intelligenten“ Fernseher um einen Samsung handelt, und diese Marke ist dafür bekannt, Zuschauer auszuspionieren. Sie zog am Netzwerkkabel. Kein Glück.
Dann, nachdem ich mich umgesehen hatte, dachte ich daran Dieses kleine alte ADSL-Modem mit 4 Ethernet-Ports, das ich vor einigen Monaten von einem Freund bekommen habe, um einen defekten Ethernet-Switch zu ersetzen. Ich habe das 12-Volt-Adapterkabel gezogen. Bingo! Der problematische DHCP-Client erhält jetzt eine gültige IP-Adresse! Ich habe auch festgestellt, dass der DHCP Probleme in unserem Haus haben vor einiger Zeit begonnen.
Ich war einverstanden, dass ich nicht klug genug war, um mit Werkzeugen wie nmap und / oder wiresnark herumzuspielen. Aber war Sherlock Holmes mit Abzug und Induktion nicht erfolgreich?
PS
Mit einer geraden Büroklammer habe ich das alte ADSL-Modem auf die Werkseinstellungen zurückgesetzt, damit das Standardkennwort für linksys funktioniert, und den DHCP deaktiviert Server darauf.
Antwort
Sie können mit wireshark auf DHCP-Antworten auf Anforderungen warten und dann zum Arp Ihres Switches gehen Tabelle, um die Adresse und den Ort zu finden. Sie können dies mit den meisten konfigurierbaren Switches tun.