Kuinka havaitsemme ja löydämme väärennetyn DHCP-palvelimen lähiverkostamme?
Kommentit
- Hyvän vastauksen saamiseksi suosittelen, että lisäät lisätietoja. Kuinka suuri verkko se on? Minkä tyyppisiä verkkolaitteita sinulla on? Mitä olet jo kokeillut?
- Hei, ei, kysymyksen tulisi olla abstrakti eikä sitä pitäisi rajoittaa yhteen yksittäiseen skenaarioon tietyssä verkossa, joten siitä voidaan keskustella laajasti. .
Vastaa
Voit käyttää nmap-komentosarjaa palvelimen löytämiseen, joka lähettää DHCPOFFER (niin kauan kuin se on lähetystoimialueellasi):
nmap --script broadcast-dhcp-discover Tämä antaa vuokratiedot DNS-verkkotunnukselle, IP-osoitteellesi, joka sen tarjosi. tavaraa.
Voit myös lisätä luettelon isännistä, joilla on mitään tekemistä portin 67 kanssa:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Kommentit
- Olen testannut tämän ja uskon sen olevan väärä. Ensinnäkin komentosarja poistuu ensimmäisen DNS-palvelimen vastauksen jälkeen. Jos ' etsii väärennettyä DNS: ää, tavallinen palvelimesi saattaa joskus vastata nopeammin ja saat ' väärän negatiivisen. Toiseksi nmap-komentosarja lähettää dhcp-discover käyttää kiinteää MAC-osoitetta (0xDE: AD: CO: DE: CA: FE), ja väärennetty DNS-palvelin yksinkertaisesti jättää huomiotta pyynnöt tältä osoitteelta. Kolmanneksi, verkon CIDR: n nmap-skannaus toimii vain, jos roistopalvelin sattuu valitsemaan saman IP-verkon kuin sinä (ja miksi he tekisivät?)
- Olen samaa mieltä @ hackerb9 kanssa. Tämä ei ole ' aio tehdä kysyttyä, koska se ei ' ei lähetä vastauksia etsimään mahdollisimman monta DHCP-palvelinta , odottaa vain, kunnes ensimmäinen vastaa.
- Voit nähdä kaikki vastaukset, jos avaat toisen päätelaitteen ja suoritat siellä tcpdump, esimerkiksi sudo tcpdump -nelt udp -portti 68 | grep -i " käynnistys. * vastaus "
Vastaa
Vastaus tähän riippuu suurelta osin siitä, kuinka hyvä verkon hallintaohjelmisto on.
Olettaen, että se on kohtuullinen, sanoisin, että tämä wold voidaan tehdä katsomalla pakettien MAC-osoitetta roistopalvelimelta ja tarkistamalla sitten kytkimiesi hallintaliittymä nähdäksesi, mihin porttiin kyseinen MAC-osoite on kytketty. Seuraa sitten portista fyysiseen porttiin ja katso, mitä liitettyjä on.
Jos et pysty kartoittamaan MAC-osoitteesta -> vaihda porttia -> fyysinen portti, tämä voi olla vähän hankalaa, varsinkin jos palvelinta ylläpitävä henkilö ei halua tulla löydetyksi.
Voit tehdä nopean ping-pyyhkäisyn verkostosi käyttämällä nmap (nmap -sP -v -n -oA ping_sweep [verkkoosi] täällä]) että ”d antaa sinulle kartan IP-osoitteista MAC-osoitteisiin, sitten (olettaen, että roistosi on siellä), voit porttia skannata IP-osoitteen ja nähdä, kertoako se sinulle mitään siitä (esim. koneen nimi SMB-porteista) …
Kommentit
- Tämä vastaus on paikannukseen, ei tunnistamiseen. Voit tunnistaa snort \ minkä tahansa muun IDS \ mukautetun komentosarjan ja hälytys
vastaus
Löysin juuri kelmi-dhcp-palvelimen kotiverkostani klassisella kokeilumenetelmällä ja Verkko-ominaisuuksia tarkastellessani huomasin, että jotkut dhcp-asiakkaat saivat IP-osoitteen roistosta 192.168. 1.x-alue 192.168.3.x-alueen sijaan, jonka määritin dhcp-palvelimellani.
Ensin epäilin dev-tietokonetta, joka isännöi joitain virtuaalikoneita; kokoonpano on monimutkainen ja kuka tietää, että yhdessä näistä vm: istä saattaa olla jonkin verran dhcp-palvelimia. Vedä vain verkkokaapelista ja katso, saako kyseinen dhcp-asiakas nyt kelvollisen IP-osoitteen. Ei parannusta, liian huono.
Epäilin nyt ”älykkäästä” televisiosta, sen samsungista ja tuotemerkistä, joka tunnetusti vakoilevan katsojia. Veti verkkokaapelin. Ei onnea.
Sitten, kun katselin ympärilleni, ajattelin tuo pieni vanha 4 Ethernet-porttia sisältävä adsl-modeemi, sain muutama kuukausi sitten kaveriltani korvaamaan rikkoutuneen Ethernet-kytkimen. Vedin 12 voltin adapterikaapelin. Bingo! Ongelma dhcp-asiakas saa nyt kelvollisen ip-osoitteen! talomme ongelmat alkoivat jonkin aikaa sitten.
Olen samaa mieltä, etten ollut tarpeeksi älykäs piileskelemään esimerkiksi nmap- ja / tai wiresnark-työkaluilla. Mutta eikö Sherlock Holmes onnistunut Deduction ja Induction -sovelluksissa?
PS
Suoristetulla paperiliittimellä tein tehdasasetukset vanhalle adsl-modeemille saadaksesi oletuslinkit salasanan toimimaan ja poistin dhcp: n käytöstä palvelin siinä.
Vastaa
Voit käyttää wiresharkia kuunnellaksesi dhcp-vastauksia pyyntöihin ja siirry sitten kytkimen arp taulukko löytääksesi osoitteen ja sijainnin. Voit tehdä tämän useimmilla konfiguroitavilla kytkimillä.