Comment pourrions-nous détecter et localiser un serveur DHCP non autorisé sur notre réseau local?
Commentaires
- Afin dobtenir une bonne réponse, je vous suggère dajouter quelques informations supplémentaires. Quelle est la taille dun réseau? Quel type déquipement réseau possédez-vous? Quavez-vous déjà essayé?
- Bonjour.Non, la question doit être abstraite et ne doit pas se limiter à un seul scénario sur un réseau particulier, elle peut donc être discutée en termes généraux. .
Réponse
Vous pouvez utiliser un script nmap pour localiser un serveur qui enverra DHCPOFFER (tant que cest dans votre domaine de diffusion):
nmap --script broadcast-dhcp-discover Cela donnera le nom de domaine DNS, votre adresse IP, qui la proposé, les informations de location .. tout le plaisir trucs.
Vous pouvez également inclure une liste dhôtes qui ont quelque chose à voir avec le port 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Commentaires
- Jai testé ceci et je pense que cest incorrect. Tout dabord, le script se termine après que le premier serveur DNS a répondu. Si vous ' si vous recherchez un DNS non autorisé, votre serveur normal peut parfois répondre plus rapidement et vous ' obtenir un faux négatif. Deuxièmement, le script nmap diffuse- dhcp-discover utilise une adresse MAC fixe (0xDE: AD: CO: DE: CA: FE), et un serveur DNS non autorisé ignorerait simplement les demandes de cette adresse. Troisièmement, effectuer une analyse nmap de votre réseau CIDR ne fonctionnera que si le serveur non autorisé a choisi le même réseau IP que vous (et pourquoi le ferait-il?)
- Je suis daccord avec @ hackerb9. Cela ' ne va pas vraiment faire ce qui a été demandé, car ' continue d’envoyer des réponses pour trouver autant de serveurs DHCP que possible , en attendant que le premier réponde.
- Vous pouvez voir toutes les réponses si vous ouvrez un autre terminal et y exécutez tcpdump, par exemple sudo tcpdump -nelt udp port 68 | grep -i " boot. * reply "
Réponse
La réponse à cette question dépendra en grande partie de la qualité du logiciel de gestion de votre réseau.
En supposant que ce soit raisonnable, je dirais que ceci wold être fait en regardant ladresse MAC des paquets du serveur non autorisé, puis en examinant linterface de gestion de vos commutateurs pour voir à quel port cette adresse MAC est connectée. Ensuite, tracez du port au port physique et voyez ce qui est connecté …
Si vous navez aucun moyen de mapper à partir de ladresse MAC -> port du commutateur -> port physique, cela pourrait être un peu difficile, surtout si la personne qui exécute le serveur ne veut pas être trouvée.
Vous pouvez effectuer un balayage ping rapide de votre réseau en utilisant nmap (nmap -sP -v -n -oA ping_sweep [votre réseau here]) que « d vous donner une carte des adresses IP aux adresses MAC, alors (en supposant que votre escroc est là-bas) vous pouvez scanner ladresse IP et voir si elle vous dit quelque chose à ce sujet (par exemple, le nom de la machine à partir des ports SMB) …
Commentaires
- Cette réponse explique comment localiser, pas comment détecter. Vous pouvez utiliser snort \ tout autre script IDS \ personnalisé pour détecter et alerte
Réponse
Je viens de trouver le serveur DHCP non autorisé sur mon réseau local par la méthode classique dessai et En regardant les propriétés du réseau, jai trouvé que certains clients DHCP avaient une adresse IP dans le 192.168. 1.x au lieu de la plage 192.168.3.x que jai configurée dans mon serveur DHCP.
Jai dabord suspecté un dev pc qui héberge des machines virtuelles; la configuration est complexe et qui sait quil pourrait y avoir un serveur dhcp dans lune de ces vm « s. Tirez simplement le câble réseau et voyez si ce client dhcp obtient maintenant une adresse IP valide. Aucune amélioration, tant pis.
Maintenant, je soupçonne la télévision « intelligente », cest un Samsung et cette marque est connue pour espionner les téléspectateurs. Jai tiré sur son câble réseau. Pas de chance, cependant.
Ensuite, après quelques recherches, jai pensé ce petit vieux modem adsl avec 4 ports ethernet que jai obtenu il y a quelques mois dun ami pour remplacer un commutateur ethernet cassé. Jai tiré le câble adaptateur 12 volts. Bingo! Le client dhcp a maintenant une adresse IP valide! Jai aussi réalisé que le dhcp les problèmes dans notre maison ont commencé il y a un certain temps.
Daccord, je nétais pas assez intelligent pour jouer avec des outils comme nmap et / ou WireSnark. Mais Sherlock Holmes na-t-il pas réussi avec Deduction and Induction?
PS
Avec un trombone redressé, jai fait une réinitialisation dusine sur lancien modem adsl pour que le mot de passe par défaut de linksys fonctionne, et jai désactivé le dhcp sur le serveur.
Réponse
Vous pouvez utiliser WireShark pour écouter les réponses DHCP aux requêtes, puis accéder à larp de votre commutateur table pour trouver ladresse et lemplacement. Vous pouvez le faire avec la plupart des commutateurs configurables.