¿Cómo detectaríamos y ubicaríamos un servidor DHCP no autorizado en nuestra red de área local?
Comentarios
- Para obtener una buena respuesta, le sugiero que agregue más información. ¿Qué tan grande es la red? ¿Qué tipo de equipo de red tienes? ¿Qué has probado ya?
- Hola, no, la pregunta debe ser abstracta y no debe limitarse a un solo escenario en una red en particular, por lo que se puede discutir en términos generales. .
Responder
Puede utilizar un script nmap para localizar un servidor que enviará DHCPOFFER (siempre que está en su dominio de transmisión):
nmap --script broadcast-dhcp-discover
Esto le dará el nombre de dominio DNS, su IP, quién lo ofreció, información de arrendamiento … toda la diversión
También puede incluir una lista de hosts que tengan algo que ver con el puerto 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR]
Comentarios
- He probado esto y creo que es incorrecto. Primero, el script se cierra después de que el primer servidor DNS responde. Si ' Si estás buscando un DNS falso, entonces tu servidor normal a veces puede responder más rápido y ' obtendrás un falso negativo. En segundo lugar, el script nmap difunde- dhcp-discover usa una dirección MAC fija (0xDE: AD: CO: DE: CA: FE), y un servidor DNS deshonesto simplemente ignoraría las solicitudes de esa dirección. En tercer lugar, hacer un escaneo de nmap de su red CIDR solo funcionará si el servidor no autorizado elige la misma red IP que usted (¿y por qué lo harían?)
- Estoy de acuerdo con @ hackerb9. Esto no ' realmente va a hacer lo que se ha pedido, ya que no ' t sigue enviando respuestas para encontrar tantos servidores DHCP como sea posible , solo esperando hasta que el primero responda.
- Puede ver todas las respuestas si abre otra terminal y ejecuta allí tcpdump, por ejemplo sudo tcpdump -nelt udp port 68 | grep -i " boot. * reply "
Responder
La respuesta a esto dependerá en gran medida de lo bueno que sea el software de administración en su red.
Suponiendo que sea razonable, diría que esto Lo haría mirando la dirección MAC de los paquetes del servidor no autorizado y luego revisando la interfaz de administración de sus conmutadores para ver a qué puerto está conectada la dirección MAC. Luego rastree desde el puerto hasta el puerto físico y vea qué está conectado …
Si no tiene forma de mapear desde la dirección MAC -> puerto de conmutación -> puerto físico, esto podría ser un poco complicado, especialmente si la persona que ejecuta el servidor no quiere que la encuentren.
Puede hacer un barrido rápido de ping de su red usando nmap (nmap -sP -v -n -oA ping_sweep [su red aquí]) que «le dará un mapa de direcciones IP a direcciones MAC, luego (asumiendo que su pícaro está allí) puede escanear el puerto de la dirección IP y ver si le dice algo al respecto (por ejemplo, el nombre de la máquina de los puertos SMB) …
Comentarios
- Esta respuesta es cómo localizar, no cómo detectar. Puede usar snort \ cualquier otro IDS \ script personalizado para detectar y alerta
Responder
Acabo de encontrar el servidor dhcp deshonesto en mi LAN local mediante el método clásico de prueba y Al mirar las propiedades de la red, encontré que algunos clientes dhcp obtuvieron una dirección IP en el 192.168. 1.x rango en lugar del rango 192.168.3.x que configuré en mi servidor dhcp.
Primero sospeché de una PC dev que aloja algunas máquinas virtuales; la configuración es compleja y quién sabe que podría haber algún servidor DHCP en una de esas VM. Simplemente tire del cable de red y vea si ese cliente DHCP ahora obtiene una dirección IP válida. Sin mejora, lástima.
Ahora sospechaba que el televisor «inteligente», es un Samsung y esa marca es conocida por espiar a los espectadores. Tiró del cable de red. Sin embargo, no tuve suerte.
Luego, después de mirar alrededor, pensé en ese pequeño módem adsl con 4 puertos ethernet que obtuve hace algunos meses de un amigo para reemplazar un interruptor ethernet roto. Tiró del cable adaptador de 12 voltios. ¡Bingo! ¡El problema con el cliente dhcp ahora obtiene una dirección IP válida! Los problemas en nuestra casa comenzaron hace un tiempo.
De acuerdo, no fui lo suficientemente inteligente como para jugar con herramientas como nmap y / o wirenark. ¿Pero Sherlock Holmes no tuvo éxito con la deducción y la inducción?
PS
Con un clip de papel enderezado hice un restablecimiento de fábrica en el antiguo módem adsl para que la contraseña predeterminada de linksys funcionara, y deshabilité el dhcp servidor en él.
Responder
Puede usar wirehark para escuchar las respuestas de DHCP a las solicitudes y luego ir al arp de su conmutador tabla para encontrar la dirección y la ubicación. Puede hacer esto con la mayoría de los conmutadores configurables.