Hur skulle vi upptäcka och lokalisera en oseriös DHCP-server i vårt lokala nätverk?
Kommentarer
- För att få ett bra svar föreslår jag att du lägger till lite mer information. Hur stort nätverk är det? Vilken typ av nätverksutrustning har du? Vad har du redan försökt?
- Hej. Nej, frågan ska vara abstrakt och bör inte begränsas till ett enda scenario i ett visst nätverk, så det kan diskuteras i breda termer. Det är så här .
Svar
Du kan använda ett nmap-skript för att hitta en server som skickar DHCPOFFER (så länge det finns i din sändningsdomän):
nmap --script broadcast-dhcp-discover
Detta kommer att ge DNS-domännamn, din IP, vem som erbjöd det, hyra information … allt kul grejer.
Du kan också inkludera en lista över värdar som har något att göra med port 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR]
Kommentarer
- Jag har testat detta och jag tror att det är felaktigt. Först avslutas skriptet efter att först DNS-servern svarar. Om du ' letar du efter en skurk DNS, då kan din normala server ibland svara snabbare och du ' skulle få ett falskt negativt. För det andra sänder nmap-skriptet- dhcp-discovery använder en fast MAC-adress (0xDE: AD: CO: DE: CA: FE), och en oseriös DNS-server skulle helt enkelt ignorera förfrågningar från den adressen. För det tredje fungerar en nmap-skanning av ditt nätverk CIDR bara om den oseriösa servern råkar välja samma IP-nätverk som du (och varför skulle de?)
- Jag håller med @ hackerb9. Det här ' kommer inte att göra det som har blivit frågat eftersom det ' inte fortsätter att skicka svar för att hitta så många DHCP-servrar som möjligt , väntar bara tills den första svarar.
- Du kan se alla svar om du öppnar en annan terminal och kör där tcpdump, till exempel sudo tcpdump -nelt udp port 68 | grep -i " start. * svara "
Svar
Svaret på detta beror till stor del på hur bra hanteringsprogramvaran i ditt nätverk är.
Om jag antar att det är rimligt skulle jag säga att detta Wold göras genom att titta på paketens MAC-adress från den oseriösa servern och sedan granska hanteringsgränssnittet för dina switchar för att se vilken port som MAC-adressen är ansluten till. Spåra sedan från porten till den fysiska porten och se vad som är anslutet …
Om du inte kan kartlägga från MAC-adress -> växla port -> fysisk port kan det vara lite knepigt, speciellt om personen som kör servern inte vill hittas.
Du kan göra en snabb ping-svepning av ditt nätverk med nmap (nmap -sP -v -n -oA ping_sweep [ditt nätverk här]) som ”skulle ge dig en karta över IP-adresser till MAC-adresser, sedan (förutsatt att din oseriösa finns där) kan du skanna IP-adressen och se om den berättar något om det (t.ex. maskinnamn från SMB-portar) …
Kommentarer
- Detta svar hur man hittar, inte hur man upptäcker. Du kan använda snort \ valfritt annat IDS \ anpassat skript för att upptäcka och varna
Svar
Hittade precis den oseriösa dhcp-servern på mitt hemland med den klassiska metoden för test och fel. När jag tittade på nätverksegenskaperna fann jag att vissa dhcp-klienter fick en IP-adress i den oseriösa 192.168. 1.x-intervall istället för 192.168.3.x-intervallet som jag konfigurerade på min dhcp-server.
Först misstänkte jag en dev-dator som är värd för vissa virtuella maskiner; konfigurationen är komplex och vem vet att det kan finnas någon dhcp-server i en av dessa vm ”s. Dra bara i nätverkskabeln och se om den dhcp-klienten nu får en giltig ip-adress. Ingen förbättring, för dåligt.
Nu misstänkte jag att den ”smarta” tv: n, det är en samsung och det varumärket är känt för att ha spionerat på tittarna. Drog i nätverkskabeln. Ingen tur, dock. det lilla gamla adsl-modemet med 4 Ethernet-portar som jag fick för några månader sedan av en vän för att byta ut en trasig Ethernet-switch. Drog i 12 volt adapterkabeln. Bingo! Problemet dhcp-klienten får nu en giltig IP-adress! Jag insåg också att dhcp problem i vårt hus började för ett tag sedan.
Jag gick inte med, jag var inte smart nog att fiska med verktyg som nmap och / eller trådnark. Men lyckades Sherlock Holmes inte med Deduktion och induktion?
PS
Med en rätad gem gjorde jag en fabriksåterställning på det gamla adsl-modemet för att få standardlösenordslösenordet att fungera och inaktiverade dhcp server på den.
Svar
Du kan använda wireshark för att lyssna på dhcp-svar på förfrågningar och gå sedan till din switch ”s arp tabell för att hitta adress och plats. Du kan göra detta med de flesta konfigurerbara omkopplare.