Come potremmo rilevare e localizzare un server DHCP non autorizzato sulla nostra rete locale?
Commenti
- Per ottenere una buona risposta ti suggerisco di aggiungere qualche informazione in più. Quanto è grande una rete? Che tipo di apparecchiatura di rete hai? Cosa hai già provato?
- Ciao. No, la domanda dovrebbe essere astratta e non dovrebbe essere limitata a un singolo scenario su una particolare rete, quindi può essere discussa in termini generali. .
Risposta
Puoi usare uno script nmap per individuare un server che invierà DHCPOFFER (purché è nel tuo dominio di trasmissione):
nmap --script broadcast-dhcp-discover Questo fornirà il nome di dominio DNS, il tuo IP, chi lo ha offerto, informazioni sul noleggio … tutto il divertimento roba.
Puoi anche includere un elenco di host che hanno qualcosa a che fare con la porta 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Commenti
- Lho testato e credo che non sia corretto. Innanzitutto, lo script viene chiuso dopo la risposta del primo server DNS. Se ' stai cercando un DNS non autorizzato, quindi il tuo server normale a volte potrebbe rispondere più rapidamente e ' potresti ottenere un falso negativo. Secondo, lo script nmap trasmette- dhcp-discover utilizza un indirizzo MAC fisso (0xDE: AD: CO: DE: CA: FE) e un server DNS non autorizzato ignorerebbe semplicemente le richieste da quellindirizzo. Terzo, fare una scansione nmap della tua rete CIDR funzionerà solo se il server canaglia sceglie la tua stessa rete IP (e perché dovrebbero?)
- Sono daccordo con @ hackerb9. Questo ' non farà davvero ciò che è stato chiesto in quanto ' non continuerà a inviare risposte per trovare quanti più server DHCP possibile , aspettando solo che il primo risponda.
- Puoi vedere tutte le risposte se apri un altro terminale ed esegui tcpdump, ad esempio sudo tcpdump -nelt udp port 68 | grep -i " boot. * reply "
Answer
La risposta a questa domanda dipenderà in gran parte da quanto è buono il software di gestione sulla rete.
Supponendo che sia ragionevole, direi che questo sarà fatto esaminando lindirizzo MAC dei pacchetti dal server canaglia e quindi rivedendo linterfaccia di gestione dei tuoi switch per vedere a quale porta è connesso lindirizzo MAC. Quindi traccia dalla porta alla porta fisica e guarda cosa è connesso …
Se non hai modo di mappare dallindirizzo MAC -> cambia porta -> porta fisica questo potrebbe essere un po complicato, specialmente se la persona che esegue il server non vuole essere trovata.
Puoi eseguire un rapido ping sweep della tua rete usando nmap (nmap -sP -v -n -oA ping_sweep [la tua rete qui]) che “d darti una mappa degli indirizzi IP agli indirizzi MAC, quindi (supponendo che il tuo ladro sia lì) potresti eseguire la scansione dellindirizzo IP e vedere se ti dice qualcosa al riguardo (ad esempio il nome della macchina dalle porte SMB) …
Commenti
- Questa risposta come localizzarla, non come rilevarla. Puoi usare snort \ qualsiasi altro IDS \ script personalizzato per rilevare e avvisa
Risposta
Ho appena trovato il server dhcp inaffidabile sulla mia LAN domestica con il metodo classico di prova e Esaminando le proprietà della rete ho scoperto che alcuni client DHCP hanno un indirizzo IP nel file 192.168. 1.x invece dellintervallo 192.168.3.x che ho configurato nel mio server dhcp.
Prima sospettavo un dev pc che ospita alcune macchine virtuali; la configurazione è complessa e chissà potrebbe esserci un server DHCP in una di quelle VM. Basta tirare il cavo di rete e vedere se quel client DHCP ora ottiene un indirizzo IP valido. Nessun miglioramento, peccato.
Ora ho il sospetto che la TV “intelligente”, è un Samsung e quel marchio è noto per spiare gli spettatori. Ha tirato il suo cavo di rete. Nessuna fortuna, però.
Poi, dopo aver guardato intorno ho pensato a quel piccolo vecchio modem adsl con 4 porte ethernet che ho ricevuto alcuni mesi fa da un amico per sostituire uno switch ethernet rotto. Ho tirato il cavo delladattatore da 12 volt. Bingo! Il problema client dhcp ora ottiene un indirizzo ip valido! Mi sono anche reso conto che il dhcp i problemi in casa nostra sono iniziati qualche tempo fa.
Daccordo, non ero abbastanza intelligente da armeggiare con strumenti come nmap e / o wirenark. Ma Sherlock Holmes non ha avuto successo con Deduction e Induction?
PS
Con una graffetta raddrizzata ho ripristinato le impostazioni di fabbrica del vecchio modem adsl per far funzionare la password di default di linksys e disabilitato il dhcp server su di esso.
Risposta
Puoi utilizzare WireShark per ascoltare le risposte DHCP alle richieste, quindi andare al tuo switch “s arp tabella per trovare lindirizzo e la posizione. Puoi farlo con la maggior parte degli interruttori configurabili.