근거리 통신망에서 불량 DHCP 서버를 어떻게 탐지하고 찾을 수 있습니까?
댓글
- 좋은 답변을 얻으려면 몇 가지 정보를 추가하는 것이 좋습니다. 네트워크는 얼마나 큽니까? 어떤 유형의 네트워크 장비가 있습니까? 이미 무엇을 시도해 보았습니까?
- 안녕하세요. 질문은 추상적이어야하며 특정 네트워크의 단일 시나리오에 국한되어서는 안되므로 광범위한 용어로 논의 할 수 있습니다. .
Answer
DHCPOFFER를 보낼 서버를 찾기 위해 nmap 스크립트를 사용할 수 있습니다 ( 브로드 캐스트 도메인에 있음) :
nmap --script broadcast-dhcp-discover 이렇게하면 DNS 도메인 이름, 제공 한 IP, 임대 정보가 제공됩니다.
또한 포트 67과 관련된 모든 호스트 목록을 포함 할 수 있습니다.
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] 댓글
- 테스트를했는데 잘못된 것 같습니다. 먼저 첫 번째 DNS 서버가 응답 한 후 스크립트가 종료됩니다. ' 불량 DNS를 찾고있는 경우 일반 서버가 때때로 더 빠르게 응답 할 수 있으며 ' 거짓 음성이 표시됩니다. 둘째, nmap 스크립트는 브로드 캐스트- dhcp-discover는 고정 MAC 주소 (0xDE : AD : CO : DE : CA : FE)를 사용하며 불량 DNS 서버는 해당 주소의 요청을 무시합니다. 셋째, 네트워크 CIDR의 nmap 스캔을 수행하는 것은 불량 서버가 동일한 IP 네트워크를 선택한 경우에만 작동합니다 (그리고 왜 그렇습니까?).
- @ hackerb9에 동의합니다. 이것은 ' 가능한 한 많은 DHCP 서버를 찾기 위해 응답을 계속 보내지 않으므로 ' 요청 된 작업을 수행하지 않습니다. ' , 첫 번째 사람이 응답 할 때까지만 기다립니다.
- 다른 터미널을 열고 거기에서 실행하면 모든 응답을 볼 수 있습니다. 예를 들어, sudo tcpdump -nelt udp port 68 | grep -i " boot. * reply "
답변
대부분 네트워크의 관리 소프트웨어가 얼마나 우수한 지에 따라 대답이 달라집니다.
합리적이라고 가정 할 때 불량 서버에서 패킷의 MAC 주소를 살펴본 다음 스위치의 관리 인터페이스를 검토하여 MAC 주소가 연결된 포트를 확인하면됩니다. 그런 다음 포트에서 물리적 포트로 추적하여 무엇이 연결되어 있는지 확인하십시오 …
MAC 주소에서 매핑 할 방법이없는 경우-> 스위치 포트-> 물리적 포트가 약간있을 수 있습니다. 특히 서버를 실행하는 사람을 찾기를 원하지 않는 경우 까다로울 수 있습니다.
nmap (nmap -sP -v -n -oA ping_sweep [your network)을 사용하여 네트워크를 빠르게 핑 스윕 할 수 있습니다. 여기]) 그 “는 MAC 주소에 대한 IP 주소 맵을 제공 한 다음 (귀하의 악성이 거기에 있다고 가정) IP 주소를 포트 스캔하여 이에 대해 알려주는 것이 있는지 확인할 수 있습니다 (예 : SMB 포트의 시스템 이름). …
댓글
- 탐지 방법이 아니라 찾는 방법에 대한 답변입니다. snort \ 다른 IDS \ 사용자 정의 스크립트를 사용하여 감지 할 수 있습니다. 및 경고
답변
그냥 고전적인 평가판 방법으로 집 LAN에서 불량 DHCP 서버를 찾았습니다. 네트워크 속성을 살펴보면 일부 DHCP 클라이언트가 불량 192.168. 내 DHCP 서버에서 구성한 192.168.3.x 범위 대신 1.x 범위.
먼저 가상 머신을 호스팅하는 dev PC를 의심했습니다. 구성이 복잡하고 해당 vm 중 하나에 DHCP 서버가있을 수 있다는 것을 누가 알 수 있습니다. 네트워크 케이블을 당겨 해당 dhcp 클라이언트가 이제 유효한 IP 주소를 얻었는지 확인하십시오. 개선은 없습니다. 너무 나쁩니다.
이제 나는 “스마트”TV, 그것의 삼성 그리고 그 브랜드가 시청자들을 감시하는 것으로 알려져 있다고 의심했다. 그것의 네트워크 케이블을 뽑았다. 그러나 운이 없다.
그런 다음, 주위를 둘러 본 후에 나는 생각했다. 4 개의 이더넷 포트가있는 그 작고 오래된 adsl 모뎀은 몇 달 전에 친구로부터 깨진 이더넷 스위치를 교체하기 위해 얻었습니다. 12 볼트 어댑터 케이블을 뽑았습니다. 빙고! 문제의 DHCP 클라이언트가 이제 유효한 IP 주소를 얻습니다! 또한 DHCP가 우리 집의 문제는 얼마 전에 시작되었습니다.
동의합니다. nmap 및 / 또는 wiresnark와 같은 도구를 조작 할만큼 똑똑하지 않았습니다.하지만 Sherlock Holmes는 Deduction and Induction에서 성공하지 못했습니까?
PS
똑바로 편 클립을 사용하여 기존의 adsl 모뎀을 공장 초기화하여 기본 링크시스 암호가 작동하도록하고 dhcp를 비활성화했습니다. 서버에 있습니다.
답변
wireshark를 사용하여 요청에 대한 DHCP 응답을 수신 한 다음 스위치의 arp로 이동할 수 있습니다. 주소와 위치를 찾을 수있는 표. 대부분의 구성 가능한 스위치로이 작업을 수행 할 수 있습니다.