Hvordan vil vi oppdage og finne en rogue DHCP-server på vårt lokale nettverk?
Kommentarer
- For å få et godt svar, vil jeg foreslå at du legger til litt mer informasjon. Hvor stort nettverk er det? Hvilken type nettverksutstyr har du? Hva har du allerede prøvd?
- Hei, nei, spørsmålet skal være abstrakt og bør ikke være begrenset til et enkelt scenario på et bestemt nettverk, så det kan diskuteres i store trekk. Det er ment som dette .
Svar
Du kan bruke et nmap-skript for å finne en server som vil sende DHCPOFFER (så lenge det er i kringkastingsdomenet ditt:
nmap --script broadcast-dhcp-discover Dette vil gi DNS-domenenavn, IP-en din, som tilbød det, leie informasjon .. alt moro ting.
Du kan også inkludere en liste over verter som har noe med port 67 å gjøre:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Kommentarer
- Jeg har testet dette, og jeg tror det er feil. For det første avsluttes skriptet etter at første DNS-serveren svarer. Hvis du ' på jakt etter en useriøs DNS, kan det hende at den normale serveren din noen ganger reagerer raskere, og du ' vil få et falskt negativt. For det andre sender nmap-skriptet- dhcp-discovery bruker en fast MAC-adresse (0xDE: AD: CO: DE: CA: FE), og en useriøs DNS-server vil bare ignorere forespørsler fra den adressen. For det tredje, å gjøre en nmap-skanning av nettverket ditt CIDR vil bare fungere hvis den useriøse serveren tilfeldigvis valgte det samme IP-nettverket som deg (og hvorfor ville de?)
- Jeg er enig med @ hackerb9. Dette ' kommer ikke til å gjøre det som er blitt bedt om, da det ' ikke fortsetter å sende svar for å finne så mange DHCP-servere som mulig , bare venter til den første svarer.
- Du kan se alle svarene hvis du åpner en annen terminal og kjører dit tcpdump, for eksempel sudo tcpdump -nelt udp port 68 | grep -i " oppstart. * svar "
Svar
Svaret på dette vil i stor grad avhenge av hvor god administrasjonsprogramvaren på nettverket ditt er.
Forutsatt at det er rimelig, vil jeg si at dette wold gjøres ved å se på MAC-adressen til pakkene fra den useriøse serveren og deretter gjennomgå administrasjonsgrensesnittet for bryterne for å se hvilken port MAC-adressen er koblet til. Spor deretter fra porten til den fysiske porten og se hva som er koblet til …
Hvis du ikke har noen måte å kartlegge fra MAC-adresse -> bytt port -> fysisk port, kan dette være litt vanskelig, spesielt hvis personen som kjører serveren ikke vil bli funnet.
Du kan gjøre et raskt ping-sveip av nettverket ditt ved hjelp av nmap (nmap -sP -v -n -oA ping_sweep [nettverket ditt her]) som «d gir deg et kart over IP-adresser til MAC-adresser, så (forutsatt at din rogue er der) kan du portere IP-adressen og se om den forteller deg noe om det (f.eks. maskinnavn fra SMB-porter) …
Kommentarer
- Dette svaret hvordan du finner, ikke hvordan du oppdager. Du kan bruke snort \ ethvert annet IDS \ tilpasset skript for å oppdage og varsle
Svar
Fant nettopp den rogue dhcp-serveren på hjemmet mitt etter den klassiske metoden for prøve og feil. Ser jeg på nettverksegenskapene, fant jeg ut at noen dhcp-klienter fikk en ip-adresse i rogue 192.168. 1.x-rekkevidde i stedet for 192.168.3.x-området som jeg konfigurerte på dhcp-serveren min.
Først mistenkte jeg en dev-pc som er vert for noen virtuelle maskiner; konfigurasjonen er kompleks og hvem vet at det kan være noen dhcp-servere i en av disse vm-ene. Bare trekk i nettverkskabelen og se om den dhcp-klienten nå får en gyldig ip-adresse. Ingen forbedring, synd.
Nå mistenkte jeg at den «smarte» tv-en, den er en samsung, og at merkevaren er kjent for å spionere på seerne. Trakk i nettverkskabelen. Ikke noe hell, skjønt. det lille gamle adsl-modemet med 4 ethernet-porter jeg fikk for noen måneder siden fra en venn for å erstatte en ødelagt ethernet-bryter. Drog i 12 volt adapterkabelen. Bingo! Problemet dhcp-klienten får nå en gyldig ip-adresse! Jeg skjønte også at dhcp problemer i huset vårt startet for en stund siden.
Jeg var enig, jeg var ikke smart nok til å fikle med verktøy som nmap og / eller wiresnark. Men lyktes ikke Sherlock Holmes med Deduction and Induction?
PS
Med en rettet binders gjorde jeg en tilbakestilling av fabrikken på det gamle adsl-modemet for å få standardlinkys-passordet til å fungere, og deaktiverte dhcp server på den.
Svar
Du kan bruke wireshark for å lytte etter dhcp-svar på forespørsler, og gå deretter til bryterens s arp tabellen for å finne adressen og stedet. Du kan gjøre dette med de fleste konfigurerbare brytere.