Cum am detecta și localiza un server DHCP necinstit în rețeaua noastră locală?
Comentarii
- Pentru a obține un răspuns bun, vă sugerez să adăugați câteva informații. Cât de mare este o rețea? Ce tip de echipament de rețea aveți? Ce ați încercat deja?
- Bună. Nu, întrebarea ar trebui să fie abstractă și nu ar trebui să se limiteze la un singur scenariu dintr-o anumită rețea, deci poate fi discutată în termeni largi. .
Răspuns
Puteți utiliza un script nmap pentru localizarea unui server care va trimite DHCPOFFER (atâta timp cât se află în domeniul dvs. de difuzare):
nmap --script broadcast-dhcp-discover Aceasta va oferi numele de domeniu DNS, IP-ul dvs., cine l-a oferit, informații de închiriere … toată distracția chestii.
De asemenea, puteți include o listă de gazde care au legătură cu portul 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR] Comentarii
- Am testat acest lucru și cred că este incorect. În primul rând, scriptul iese după ce serverul DNS first răspunde. Dacă ' căutați un DNS necinstit, atunci serverul dvs. normal poate răspunde uneori mai repede și ' obțineți un fals negativ. În al doilea rând, transmiterea scriptului nmap- dhcp-discover folosește o adresă MAC fixă (0xDE: AD: CO: DE: CA: FE), iar un server DNS necinstit ar ignora pur și simplu cererile de la acea adresă. În al treilea rând, efectuarea unei scanări nmap a rețelei dvs. CIDR va funcționa numai dacă serverul necinstit a ales aceeași rețea IP ca dvs. (și de ce ar face-o?)
- Sunt de acord cu @ hackerb9. Acest lucru nu ' nu va face cu adevărat ceea ce a fost cerut, deoarece nu ' nu continuă să trimită răspunsuri pentru a găsi cât mai multe servere DHCP posibil , așteaptă doar până la primul răspuns.
- Puteți vedea toate răspunsurile dacă deschideți un alt terminal și rulați acolo tcpdump, de exemplu sudo tcpdump -nelt udp port 68 | grep -i " boot. * răspuns "
Răspuns
Răspunsul la aceasta va depinde în mare măsură de cât de bun este software-ul de gestionare din rețeaua dvs.
Presupunând că este rezonabil, aș spune că acest lucru Vor fi făcute uitându-vă la adresa MAC a pachetelor de pe serverul necinstit și apoi examinând interfața de gestionare pentru comutatoarele dvs. pentru a vedea la ce port este conectată adresa MAC. Apoi urmăriți de la port la portul fizic și vedeți ce este conectat …
Dacă nu aveți nicio modalitate de a mapa de la adresa MAC -> comutați portul -> portul fizic, acest lucru ar putea fi puțin dificil, mai ales dacă persoana care rulează serverul nu vrea să fie găsită.
Ați putea face o ping rapidă a rețelei dvs. folosind nmap (nmap -sP -v -n -oA ping_sweep [rețeaua dvs. aici]) care „ți-ar oferi o hartă a adreselor IP către adresele MAC, atunci (presupunând că ticălosul tău este acolo) poți scana adresa IP și poți vedea dacă îți spune ceva despre aceasta (de exemplu, numele mașinii din porturile SMB) …
Comentarii
- Acest răspuns cum se localizează, nu cum se detectează. Puteți utiliza snort \ orice alt IDS \ script personalizat pentru a detecta și alert
Răspuns
Tocmai am găsit serverul dhcp necinstit pe lanul meu de acasă prin metoda clasică de încercare și Eroare. Privind proprietățile rețelei, am constatat că unii clienți dhcp au primit o adresă IP în rogue 192.168. Intervalul 1.x în locul intervalului 192.168.3.x pe care l-am configurat pe serverul meu dhcp.
Mai întâi am suspectat un PC dev care găzduiește unele mașini virtuale; configurația este complexă și cine știe că ar putea exista un server dhcp într-unul din acele vm „”. Trageți doar cablul de rețea și vedeți dacă acel client dhcp primește acum o adresă IP validă. Nici o îmbunătățire, păcat.
Acum am bănuit televizorul „inteligent”, este un Samsung și marca respectivă este cunoscută pentru spionarea spectatorilor. I-am tras cablul de rețea. Totuși, fără noroc.
Apoi, după ce m-am uitat în jur, m-am gândit la acel mic modem adsl vechi cu 4 porturi Ethernet pe care l-am primit acum câteva luni de la un prieten pentru a înlocui un comutator Ethernet rupt. Am tras cablul adaptorului de 12 volți. Bingo! Problema clientului dhcp primește acum o adresă IP validă! problemele din casa noastră au început cu ceva timp în urmă.
De acord, nu eram suficient de inteligent să mă lăud cu instrumente precum nmap și / sau wiresnark. Dar Sherlock Holmes nu a reușit cu Deducerea și inducerea?
PS
Cu o agrafă îndreptată am făcut o resetare din fabrică pe vechiul modem adsl pentru a face ca parola implicită linksys să funcționeze și am dezactivat dhcp server pe el.
Răspuns
Puteți folosi wireshark pentru a asculta răspunsurile dhcp la solicitări, apoi accesați comutatorul dvs. tabel pentru a găsi adresa și locația. Puteți face acest lucru cu majoritatea comutatoarelor configurabile.