Csaló DHCP-kiszolgáló észlelése (és felkutatása) egy helyi hálózaton

Nmap szkript segítségével megkeresheti a DHCPOFFER-t küldő szervert (mindaddig, amíg az Ön sugárzott tartományában van:

nmap --script broadcast-dhcp-discover 

Ez megadja a DNS-domain nevet, az Ön IP-címét, aki felajánlotta, kibérelheti az információkat .. minden móka cucc.

Felvehet egy listát azoknak a gazdagépeknek is, amelyeknek köze van a 67-es porthoz:

nmap --script broadcast-dhcp-discover -p67 [your network CIDR] 

Megjegyzések

• Ezt teszteltem, és úgy gondolom, hogy helytelen. Először a parancsfájl kilép, miután az első DNS-kiszolgáló válaszol. Ha ' keres egy szélhámos DNS-t, akkor a normál szerver időnként gyorsabban reagálhat, és ' hamis negatív eredményt kap. Másodszor, az nmap parancsfájl sugározza- A dhcp-Discover egy fix MAC-címet használ (0xDE: AD: CO: DE: CA: FE), és egy szélhámos DNS-kiszolgáló egyszerűen figyelmen kívül hagyja az adott címetől érkező kéréseket. Harmadszor, a hálózati CIDR nmap-vizsgálata csak akkor működik, ha a szélhámos kiszolgáló véletlenül ugyanazt az IP-hálózatot választja, mint te (és miért tennék?)
• Egyetértek a @ hackerb9 nevűvel. Ez nem ' nem fogja igazán megtenni azt, amit kértek, mivel nem ' nem küld válaszokat a lehető legtöbb DHCP-kiszolgáló megkeresésére , csak addig vár, amíg az első válasz nem lesz.
• Az összes választ akkor láthatja, ha megnyit egy másik terminált, és ott futtatja tcpdump, például sudo tcpdump -nelt udp port 68 | grep -i " boot. * válasz "

Az erre adott válasz nagyban függ attól, hogy mennyire jó a hálózatán lévő felügyeleti szoftver.

Feltételezve, hogy ésszerű, azt mondanám, hogy ez A műveletet úgy tehetjük meg, hogy megnézzük a szélhámos kiszolgáló csomagjainak MAC-címét, majd áttekintjük a kapcsolók felügyeleti felületét, hogy lássuk, melyik MAC-címhez csatlakozik. Ezután kövesse nyomon a portot a fizikai portig, és nézze meg, hogy mi csatlakozik …

Ha nincs módja a MAC-címről való térképezésre -> switch port -> fizikai portra, ez egy kicsit lehet trükkös, főleg, ha a szervert futtató személy nem akarja, hogy megtalálják.

A nmap (nmap -sP -v -n -oA ping_sweep [hálózat itt]), hogy “d megad egy IP-címek térképét MAC-címekhez, akkor (feltételezve, hogy a gazember ott van), porton átkutathatja az IP-címet, és megnézheti, hogy mond-e valamit róla (pl. gépnév az SMB portokról) …

Megjegyzések

• Ez a válasz a hely megkeresésére, nem pedig a felderítésére. Használhatja a snort \ bármely más IDS \ egyedi parancsfájlt az észleléshez és riasztás

Éppen most találtam meg a szélhámos dhcp szervert az otthoni lan-on a klasszikus tárgyalási módszerrel A hálózati tulajdonságokat megnézve azt tapasztaltam, hogy néhány dhcp kliens IP címet kapott a szélhámos 192.168 fájlban. 1.x tartomány a 192.168.3.x tartomány helyett, amelyet a dhcp szerveren konfiguráltam.

Először egy dev pc-re gyanakodtam, amely néhány virtuális gépet üzemeltet; a konfiguráció összetett, és ki tudja, van-e dhcp szerver az egyik ilyen vm-ben. Csak húzza ki a hálózati kábelt, és nézze meg, hogy az adott dhcp kliens most érvényes IP-címet kap-e. Nincs javulás, túl rossz.

Most arra gyanakodtam, hogy az “okos” tv, annak egy samsungja, és ez a márka a nézők kémkedéséről ismert. Húzta a hálózati kábelt. Pedig nincs szerencséje.

Aztán némi körülnézés után gondoltam azt a kicsi régi 4 Ethernet porttal rendelkező adsl modemet, amelyet néhány hónappal ezelőtt kaptam egy barátomtól egy megszakadt Ethernet kapcsoló kicserélésére. Húztam a 12 voltos adapterkábelt. Bingo! A problémás dhcp kliens most érvényes IP címet kap! Rájöttem, hogy a dhcp A házunkban egy ideje már elkezdődtek a gondok.

Egyetértek, nem voltam elég okos ahhoz, hogy olyan eszközökkel babráljak, mint az nmap és / vagy a wiresnark. De Sherlock Holmesnak nem sikerült a dedukció és az indukció?

PS

szerver rajta.

A wireshark segítségével meghallgathatja a dhcp válaszokat a kérésekre, majd lépjen a kapcsoló arpjához táblázat a cím és a hely megtalálásához. Ezt a legtöbb konfigurálható kapcsolóval megteheti.