ローカルエリアネットワーク上の不正なDHCPサーバーを検出および検索するにはどうすればよいですか?
コメント
- 良い答えを得るには、さらに情報を追加することをお勧めします。ネットワークの大きさはどれくらいですか?どのような種類のネットワーク機器がありますか?すでに何を試しましたか?
- こんにちは。いいえ、質問は抽象的である必要があり、特定のネットワーク上の単一のシナリオに限定されるべきではないため、広義に議論することができます。 。
回答
DHCPOFFERを送信するサーバーを見つけるためにnmapスクリプトを使用できます(それはあなたのブロードキャストドメインにあります):
nmap --script broadcast-dhcp-discover これにより、DNSドメイン名、それを提供したIP、リース情報が提供されます。
ポート67と関係のあるホストのリストを含めることもできます:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] コメント
- これをテストしましたが、正しくないと思います。まず、最初の DNSサーバーが応答した後にスクリプトが終了します。'不正なDNSを探していると、通常のサーバーの応答が速くなることがあり、'偽陰性が発生します。次に、nmapスクリプトがブロードキャストします- dhcp-discoverは固定MACアドレス(0xDE:AD:CO:DE:CA:FE)を使用し、不正なDNSサーバーはそのアドレスからの要求を単に無視します。第三に、ネットワークCIDRのnmapスキャンを実行することは、不正なサーバーがたまたまあなたと同じIPネットワークを選択した場合にのみ機能します(そしてなぜそうするのでしょうか?)
- @ hackerb9に同意します。 'は、できるだけ多くのDHCPサーバーを見つけるために応答を送信し続けることがないため、要求された処理を実際に実行することはありません。 、最初の1つが応答するまで待機します。
- 別の端末を開いてそこでtcpdumpを実行すると、すべての応答を表示できます。たとえば、sudo tcpdump -nelt udp port 68 | grep -i " boot。* reply "
回答
これに対する答えは、ネットワーク上の管理ソフトウェアがどれだけ優れているかに大きく依存します。
それが合理的であると仮定すると、これは不正なサーバーからのパケットのMACアドレスを調べてから、スイッチの管理インターフェイスを調べて、そのMACアドレスが接続されているポートを確認することで実行できます。次に、ポートから物理ポートまでトレースし、何が接続されているかを確認します…
MACアドレス->スイッチポート->物理ポートからマッピングする方法がない場合、これは少しかもしれません特にサーバーを実行している人が見つからない場合は注意が必要です。
nmap(nmap -sP -v -n -oA ping_sweep [your network]を使用して、ネットワークのpingスイープをすばやく実行できます。ここで])それはあなたにIPアドレスからMACアドレスへのマップを与えるでしょう、そして(あなたの不正がそこにいると仮定して)あなたはIPアドレスをポートスキャンしてそれについて何かを教えてくれるかどうか見ることができます(例えばSMBポートからのマシン名) …
コメント
- この回答は、検出方法ではなく、検索方法です。snort\その他のIDS \カスタムスクリプトを使用して検出できますアラート
回答
従来の試行方法で、自宅のLAN上に不正なdhcpサーバーを見つけました。エラー。ネットワークプロパティを見ると、一部のdhcpクライアントが不正な192.168。でIPアドレスを取得していることがわかりました。 dhcpサーバーで構成した192.168.3.x範囲の代わりに1.x範囲。
最初に、いくつかの仮想マシンをホストする開発PCを疑った。構成は複雑で、これらのVMの1つにdhcpサーバーがある可能性があることを誰が知っていますか。ネットワークケーブルを引っ張って、そのdhcpクライアントが有効なIPアドレスを取得するかどうかを確認してください。改善はありません。残念です。
今、私は「スマート」テレビ、そのサムソン、そしてそのブランドが視聴者をスパイすることで知られているのではないかと疑った。そのネットワークケーブルを引っ張った。しかし運が悪かった。
それから、周りを見回した後、私は考えた。壊れたイーサネットスイッチを交換するために数か月前に友人から入手した4つのイーサネットポートを備えたその小さな古いadslモデム。12ボルトのアダプタケーブルを引っ張った。ビンゴ!問題のdhcpクライアントが有効なIPアドレスを取得するようになりました!dhcpにも気づきました私たちの家のトラブルは少し前に始まりました。
同意しました。私はnmapやwiresnarkなどのツールをいじるほど頭が良くありませんでした。しかし、Sherlock Holmesは控除と誘導で成功しませんでしたか?
PS
まっすぐにした紙のクリップを使用して、古いadslモデムを工場出荷時の状態にリセットし、デフォルトのlinksysパスワードを機能させ、dhcpを無効にしました。サーバー上にあります。
回答
Wiresharkを使用して、要求に対するdhcp応答をリッスンしてから、スイッチのarpに移動できます。アドレスと場所を見つけるためのテーブル。これは、ほとんどの構成可能なスイッチで実行できます。