Como detectaríamos e localizaríamos um servidor DHCP não autorizado em nossa rede local?
Comentários
- Para obter uma boa resposta, sugiro que você adicione mais informações. Qual é o tamanho da rede? Que tipo de equipamento de rede você possui? O que você já tentou?
- Olá. Não, a pergunta deve ser abstrata e não deve ser limitada a um único cenário em uma rede particular, para que possa ser discutida em termos gerais. É um pensamento assim .
Resposta
Você pode usar um script nmap para localizar um servidor que enviará DHCPOFFER (desde que está em seu domínio de transmissão):
nmap --script broadcast-dhcp-discover Isso fornecerá o nome de domínio DNS, seu IP, quem o ofereceu, informações de aluguel … toda a diversão coisas.
Você também pode incluir uma lista de hosts que têm qualquer relação com a porta 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Comentários
- Eu testei isso e acredito que está incorreto. Primeiro, o script sai após o primeiro servidor DNS responder. Se você ' está procurando por um DNS invasor, então seu servidor normal pode, às vezes, responder mais rapidamente e você ' obteria um falso negativo. Em segundo lugar, o script nmap transmitia dhcp-discover usa um endereço MAC fixo (0xDE: AD: CO: DE: CA: FE), e um servidor DNS não autorizado simplesmente ignora as solicitações desse endereço. Terceiro, fazer uma varredura nmap do CIDR de sua rede só funcionará se o servidor não autorizado escolher a mesma rede IP que você (e por que escolheria?)
- Concordo com @ hackerb9. Isso não ' realmente fará o que foi solicitado, pois não ' continuará enviando respostas para encontrar o maior número possível de servidores DHCP , apenas esperando até que o primeiro responda.
- Você pode ver todas as respostas se abrir outro terminal e executar lá tcpdump, por exemplo sudo tcpdump -nelt udp port 68 | grep -i " boot. * reply "
Resposta
A resposta depende muito de quão bom é o software de gerenciamento em sua rede.
Supondo que seja razoável, eu diria que isso Seria feito observando o endereço MAC dos pacotes do servidor não autorizado e, em seguida, revisando a interface de gerenciamento de seus switches para ver a qual porta o endereço MAC está conectado. Em seguida, rastreie da porta até a porta física e veja o que está conectado …
Se você não tem como mapear do endereço MAC -> porta do switch -> porta física, isso pode ser um pouco complicado, especialmente se a pessoa que está executando o servidor não quiser ser encontrada.
Você poderia fazer uma varredura rápida de ping em sua rede usando nmap (nmap -sP -v -n -oA ping_sweep [sua rede aqui]) que “d dar a você um mapa de endereços IP para endereços MAC, então (supondo que seu invasor esteja lá) você poderia escanear a porta do endereço IP e ver se ele informa algo sobre isso (por exemplo, nome da máquina de portas SMB) …
Comentários
- Esta resposta é como localizar, não como detectar. Você pode usar o snort \ qualquer outro IDS \ script personalizado para detectar e alerta
Resposta
Acabei de encontrar o servidor dhcp desonesto na minha LAN doméstica pelo método clássico de teste e Erro. Olhando as propriedades de rede, descobri que alguns clientes dhcp obtiveram um endereço IP no 192.168 invasor. Intervalo 1.x em vez do intervalo 192.168.3.x que configurei no meu servidor dhcp.
Primeiro, suspeitei de um dev pc que hospeda algumas máquinas virtuais; a configuração é complexa e quem sabe pode haver algum servidor dhcp em um desses vm “s. Basta puxar o cabo de rede e ver se aquele cliente dhcp agora obtém um endereço IP válido. Nenhuma melhoria, uma pena.
Agora suspeitei da “smart” tv, é um samsung e essa marca é conhecida por espionar os telespectadores. Puxou o cabo de rede. Mas sem sorte.
Então, depois de dar uma olhada, pensei em aquele pequeno e velho modem adsl com 4 portas ethernet que comprei alguns meses atrás de um amigo para substituir um switch ethernet quebrado. Puxei o cabo adaptador de 12 volts. Bingo! O cliente dhcp com problema agora tem um endereço IP válido! os problemas em nossa casa começaram há um tempo.
Concordo, eu não fui inteligente o suficiente para mexer com ferramentas como nmap e / ou WireNark. Mas Sherlock Holmes não teve sucesso com dedução e indução?
PS
Com um clipe de papel endireitado, fiz uma redefinição de fábrica no antigo modem adsl para fazer a senha padrão linksys funcionar e desativei o dhcp servidor nele.
Resposta
Você pode usar fioshark para ouvir respostas dhcp a solicitações e ir para seu switch “s arp tabela para encontrar o endereço e localização. Você pode fazer isso com a maioria dos switches configuráveis.