Jak moglibyśmy wykryć i zlokalizować fałszywy serwer DHCP w naszej sieci lokalnej?
Komentarze
- Aby uzyskać dobrą odpowiedź, proponuję dodać więcej informacji. Jak duża to sieć? Jaki masz sprzęt sieciowy? Czego już próbowałeś?
- Cześć. Nie, pytanie powinno być abstrakcyjne i nie powinno ograniczać się do pojedynczego scenariusza w określonej sieci, więc można je omówić szeroko. .
Odpowiedź
Możesz użyć skryptu nmap do zlokalizowania serwera, który wyśle DHCPOFFER (o ile znajduje się w Twojej domenie rozgłoszeniowej):
nmap --script broadcast-dhcp-discover W ten sposób otrzymasz nazwę domeny DNS, Twój adres IP, który ją zaoferował, informacje o dzierżawie … cała zabawa rzeczy.
Możesz także dołączyć listę hostów, które mają cokolwiek wspólnego z portem 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Komentarze
- Przetestowałem to i uważam, że jest niepoprawne. Po pierwsze, skrypt kończy działanie po pierwszym odpowiedzi serwera DNS. Jeśli ' szukasz fałszywego serwera DNS, wtedy Twój normalny serwer może czasami odpowiadać szybciej i ' d otrzymujesz fałszywie ujemny wynik. Po drugie, skrypt nmap broadcast- dhcp-Discover używa stałego adresu MAC (0xDE: AD: CO: DE: CA: FE), a fałszywy serwer DNS po prostu ignorowałby żądania z tego adresu. Po trzecie, wykonanie skanowania nmap twojej sieci CIDR zadziała tylko wtedy, gdy fałszywy serwer wybierze tę samą sieć IP co ty (i dlaczego miałby to zrobić?)
- Zgadzam się z @ hackerb9. To nie jest ' tak naprawdę nie zrobi tego, o co proszono, ponieważ nie ' nie będzie wysyłał odpowiedzi, aby znaleźć jak najwięcej serwerów DHCP , czekam tylko na odpowiedź pierwszego.
- Możesz zobaczyć wszystkie odpowiedzi, jeśli otworzysz inny terminal i uruchomisz tam tcpdump, na przykład sudo tcpdump -nelt udp port 68 | grep -i " boot. * odpowiedz "
Odpowiedź
Odpowiedź na to pytanie będzie w dużej mierze zależeć od tego, jak dobre jest oprogramowanie do zarządzania w Twojej sieci.
Zakładając, że jest to rozsądne, powiedziałbym, że można to zrobić, sprawdzając adresy MAC pakietów z fałszywego serwera, a następnie przeglądając interfejs zarządzania dla swoich przełączników, aby zobaczyć, do którego portu jest podłączony ten adres MAC. Następnie prześledź port do portu fizycznego i zobacz, co jest podłączone …
Jeśli nie masz możliwości mapowania z adresu MAC -> port przełącznika -> port fizyczny, może to być trochę trudne, szczególnie jeśli osoba obsługująca serwer nie chce być znaleziona.
Możesz wykonać szybkie przeglądanie sieci za pomocą polecenia nmap (nmap -sP -v -n -oA ping_sweep [twoja sieć tutaj]), że „d dostaniesz mapę adresów IP na adresy MAC, wtedy (zakładając, że jest tam twój łotr), możesz przeskanować port IP i sprawdzić, czy coś o nim powie (np. nazwa maszyny z portów SMB) …
Komentarze
- To odpowiedź, jak zlokalizować, a nie jak wykryć. Możesz użyć snort \ dowolnego innego IDS \ niestandardowego skryptu do wykrywania i alert
Odpowiedź
Właśnie znalazłem fałszywy serwer dhcp w mojej sieci domowej za pomocą klasycznej metody próbnej i Patrząc na właściwości sieci, stwierdziłem, że niektórzy klienci dhcp mają adres IP w fałszywym 192.168. 1.x zakres zamiast zakresu 192.168.3.x, który skonfigurowałem na moim serwerze dhcp.
Najpierw podejrzewałem, że jest to dev pc, który obsługuje kilka maszyn wirtualnych; konfiguracja jest złożona i kto wie, że w jednej z tych maszyn wirtualnych może znajdować się jakiś serwer dhcp. Po prostu pociągnij za kabel sieciowy i sprawdź, czy klient dhcp ma teraz prawidłowy adres IP. Bez poprawy, szkoda.
Podejrzewałem, że „smart” tv to Samsung i ta marka jest znana z szpiegowania widzów. Wyciągnąłem kabel sieciowy. Jednak bez powodzenia.
Potem, po chwili rozejrzenia się, pomyślałem ten mały stary modem adsl z 4 portami Ethernet, który kilka miesięcy temu dostałem od znajomego w celu wymiany zepsutego przełącznika Ethernet. Wyciągnąłem kabel adaptera 12 V. Bingo! Problem z klientem dhcp otrzymuje teraz prawidłowy adres IP! Zrozumiałem również, że dhcp kłopoty w naszym domu zaczęły się jakiś czas temu.
Zgoda, nie byłem na tyle sprytny, by bawić się narzędziami takimi jak nmap i / lub wirenark. Ale czy Sherlock Holmes nie odniósł sukcesu z dedukcją i indukcją?
PS
Za pomocą wyprostowanego spinacza do papieru przywróciłem ustawienia fabryczne starego modemu adsl, aby domyślne hasło Linksys działało, i wyłączyłem dhcp serwer.
Odpowiedź
Możesz użyć wireshark do nasłuchiwania odpowiedzi dhcp na żądania, a następnie przejść do „s arp swojego przełącznika” tabeli, aby znaleźć adres i lokalizację. Możesz to zrobić z większością konfigurowalnych przełączników.