Detecteren (en lokaliseren) malafide DHCP-server op een lokaal netwerk

U kunt een nmap-script gebruiken om een server te lokaliseren die DHCPOFFER zal verzenden (zolang het bevindt zich in uw uitzenddomein):

nmap --script broadcast-dhcp-discover 

Dit geeft de DNS-domeinnaam, uw IP, die het heeft aangeboden, lease-informatie .. al het plezier dingen.

Je kunt ook een lijst opnemen met hosts die iets te maken hebben met poort 67:

nmap --script broadcast-dhcp-discover -p67 [your network CIDR] 

Reacties

• Ik heb dit getest en ik denk dat het onjuist is. Ten eerste wordt het script afgesloten nadat de eerste DNS-server reageert. Als je ' op zoek bent naar een malafide DNS, dan reageert je normale server soms sneller en krijg je ' een vals negatief. Ten tweede, het nmap-script uitgezonden dhcp-Discover gebruikt een vast MAC-adres (0xDE: AD: CO: DE: CA: FE), en een malafide DNS-server negeert eenvoudigweg verzoeken van dat adres. Ten derde zal het uitvoeren van een nmap-scan van je netwerk-CIDR alleen werken als de malafide server toevallig hetzelfde IP-netwerk als jij kiest (en waarom zouden ze?)
• Ik ben het eens met @ hackerb9. Dit is niet ' t echt gaan doen wat gevraagd wordt, aangezien het ' t niet blijft antwoorden om zoveel mogelijk DHCP-servers te vinden , wacht alleen tot de eerste antwoordt.
• Je kunt alle antwoorden zien als je een andere terminal opent en daar tcpdump uitvoert, bijvoorbeeld sudo tcpdump -nelt udp port 68 | grep -i " boot. * antwoord "

Het antwoord hierop zal grotendeels afhangen van hoe goed de beheersoftware op uw netwerk is.

Aangenomen dat het redelijk is, zou ik zeggen dat dit Dit wordt gedaan door naar het MAC-adres van de pakketten van de malafide server te kijken en vervolgens de beheerinterface voor uw switches te bekijken om te zien met welke poort dat MAC-adres is verbonden. Traceer vervolgens van de poort naar de fysieke poort en kijk wat er is aangesloten …

Als je geen manier hebt om vanaf het MAC-adres -> switch-poort -> fysieke poort in kaart te brengen, kan dit een beetje zijn lastig, vooral als de persoon die de server beheert niet gevonden wil worden.

Je zou een snelle ping-sweep van je netwerk kunnen doen met nmap (nmap -sP -v -n -oA ping_sweep [je netwerk hier]) die “u een kaart van IP-adressen naar MAC-adressen zou geven, dan (ervan uitgaande dat uw bedrieger daar aanwezig is) u het IP-adres zou kunnen scannen om te zien of het u er iets over vertelt (bijv. machinenaam van SMB-poorten) …

Opmerkingen

• Dit antwoord hoe te vinden, niet hoe te detecteren. Je kunt snort \ elk ander IDS \ aangepast script gebruiken om te detecteren en alert

Ik heb zojuist de malafide DHCP-server op mijn thuis-lan gevonden met de klassieke methode van proef en Als ik naar de netwerkeigenschappen keek, ontdekte ik dat sommige dhcp-clients een ip-adres kregen in de malafide 192.168. 1.x-bereik in plaats van het 192.168.3.x-bereik dat ik in mijn dhcp-server heb geconfigureerd.

Eerst vermoedde ik een dev-pc die enkele virtuele machines host; de configuratie is complex en wie weet zit er misschien een dhcp-server in een van die vms. Trek gewoon aan de netwerkkabel en kijk of die dhcp-client nu een geldig ip-adres krijgt. Geen verbetering, jammer.

Nu vermoedde ik de slimme tv, het is een Samsung en dat merk staat erom bekend kijkers te bespioneren. Ik heb de netwerkkabel getrokken. Maar geen geluk.

Toen, na wat rondkijken, dacht ik aan die kleine oude adsl-modem met 4 ethernetpoorten die ik een paar maanden geleden van een vriend kreeg om een kapotte ethernetswitch te vervangen. Ik heb de 12 volt adapterkabel getrokken. Bingo! Het probleem dhcp-client krijgt nu een geldig ip-adres! Ik realiseerde me ook dat de dhcp problemen in ons huis begonnen een tijdje geleden.

Akkoord, ik was niet slim genoeg om met tools als nmap en / of dradennark te spelen. Maar is het Sherlock Holmes niet gelukt met Aftrek en Inductie?

PS

Met een rechtgebogen paperclip heb ik de fabrieksinstellingen van de oude adsl-modem hersteld om het standaardlinksys-wachtwoord te laten werken, en de dhcp uitgeschakeld server erop.

Je kunt dradenhark gebruiken om te luisteren naar dhcp-antwoorden op verzoeken en ga dan naar het arp van je switch tabel om het adres en de locatie te vinden. U kunt dit doen met de meeste configureerbare schakelaars.