Upptäcka (och lokalisera) oseriös DHCP-server i ett lokalt nätverk

Du kan använda ett nmap-skript för att hitta en server som skickar DHCPOFFER (så länge det finns i din sändningsdomän):

nmap --script broadcast-dhcp-discover 

Detta kommer att ge DNS-domännamn, din IP, vem som erbjöd det, hyra information … allt kul grejer.

Du kan också inkludera en lista över värdar som har något att göra med port 67:

nmap --script broadcast-dhcp-discover -p67 [your network CIDR] 

Kommentarer

• Jag har testat detta och jag tror att det är felaktigt. Först avslutas skriptet efter att först DNS-servern svarar. Om du ' letar du efter en skurk DNS, då kan din normala server ibland svara snabbare och du ' skulle få ett falskt negativt. För det andra sänder nmap-skriptet- dhcp-discovery använder en fast MAC-adress (0xDE: AD: CO: DE: CA: FE), och en oseriös DNS-server skulle helt enkelt ignorera förfrågningar från den adressen. För det tredje fungerar en nmap-skanning av ditt nätverk CIDR bara om den oseriösa servern råkar välja samma IP-nätverk som du (och varför skulle de?)
• Jag håller med @ hackerb9. Det här ' kommer inte att göra det som har blivit frågat eftersom det ' inte fortsätter att skicka svar för att hitta så många DHCP-servrar som möjligt , väntar bara tills den första svarar.
• Du kan se alla svar om du öppnar en annan terminal och kör där tcpdump, till exempel sudo tcpdump -nelt udp port 68 | grep -i " start. * svara "

Svaret på detta beror till stor del på hur bra hanteringsprogramvaran i ditt nätverk är.

Om jag antar att det är rimligt skulle jag säga att detta Wold göras genom att titta på paketens MAC-adress från den oseriösa servern och sedan granska hanteringsgränssnittet för dina switchar för att se vilken port som MAC-adressen är ansluten till. Spåra sedan från porten till den fysiska porten och se vad som är anslutet …

Om du inte kan kartlägga från MAC-adress -> växla port -> fysisk port kan det vara lite knepigt, speciellt om personen som kör servern inte vill hittas.

Du kan göra en snabb ping-svepning av ditt nätverk med nmap (nmap -sP -v -n -oA ping_sweep [ditt nätverk här]) som ”skulle ge dig en karta över IP-adresser till MAC-adresser, sedan (förutsatt att din oseriösa finns där) kan du skanna IP-adressen och se om den berättar något om det (t.ex. maskinnamn från SMB-portar) …

Kommentarer

• Detta svar hur man hittar, inte hur man upptäcker. Du kan använda snort \ valfritt annat IDS \ anpassat skript för att upptäcka och varna

Hittade precis den oseriösa dhcp-servern på mitt hemland med den klassiska metoden för test och fel. När jag tittade på nätverksegenskaperna fann jag att vissa dhcp-klienter fick en IP-adress i den oseriösa 192.168. 1.x-intervall istället för 192.168.3.x-intervallet som jag konfigurerade på min dhcp-server.

Först misstänkte jag en dev-dator som är värd för vissa virtuella maskiner; konfigurationen är komplex och vem vet att det kan finnas någon dhcp-server i en av dessa vm ”s. Dra bara i nätverkskabeln och se om den dhcp-klienten nu får en giltig ip-adress. Ingen förbättring, för dåligt.

Nu misstänkte jag att den ”smarta” tv: n, det är en samsung och det varumärket är känt för att ha spionerat på tittarna. Drog i nätverkskabeln. Ingen tur, dock. det lilla gamla adsl-modemet med 4 Ethernet-portar som jag fick för några månader sedan av en vän för att byta ut en trasig Ethernet-switch. Drog i 12 volt adapterkabeln. Bingo! Problemet dhcp-klienten får nu en giltig IP-adress! Jag insåg också att dhcp problem i vårt hus började för ett tag sedan.

Jag gick inte med, jag var inte smart nog att fiska med verktyg som nmap och / eller trådnark. Men lyckades Sherlock Holmes inte med Deduktion och induktion?

PS

Med en rätad gem gjorde jag en fabriksåterställning på det gamla adsl-modemet för att få standardlösenordslösenordet att fungera och inaktiverade dhcp server på den.

Du kan använda wireshark för att lyssna på dhcp-svar på förfrågningar och gå sedan till din switch ”s arp tabell för att hitta adress och plats. Du kan göra detta med de flesta konfigurerbara omkopplare.