Rogue DHCP-сервер неможливо знайти

44

Протягом останніх 3-4 тижнів я намагався знайти шахрайського DHCP-сервера в моїй мережі, але був натхнений! Він пропонує IP адреси, які не працюють з моєю мережею, тому будь-який пристрій, якому потрібна динамічна адреса, отримує його від Rogue DHCP, і цей пристрій перестає працювати. Мені потрібна допомога, щоб знайти та знищити цю річ! Я думаю, що це може бути якийсь троян.

Мій головний маршрутизатор - єдиний дійсний сервер DHCP, і це 192.168.0.1, який пропонує діапазон 192.160.0.150-199, і я налаштував це в моїй AD як авторизований. Цей ROGUE DHCP стверджує, що він надходить з 192.168.0.20 і пропонує IP-адресу в діапазоні 10.255.255. *, Що псує ВСЕ ВСЕ в моїй мережі, якщо я не призначу статичну IP-адресу для нього. 192.168.0.20 не існує в моїй мережі.

Моя мережа - це єдиний сервер AD на Windows 2008R2, 3 інші фізичні сервери (1-2008R2 та 2 2012R2), близько 4 віртуальних машин Hypervisor, 3 ноутбуки та вікно Windows 7.

Я не можу пінг ізгоя 192.160.0.20 IP, і я не бачу його на виході ARP -A, тому я не можу отримати його MAC-адресу. Я сподіваюся, що хтось, хто читає цю публікацію, раніше наштовхувався на це.

networking dhcp-server

— Дейв Стюарт
джерело

12

Я не допомагаю з боку Windows, але якби я був у Linux, я просто взяв би захоплення пакетів з tcpdump для клієнта, оскільки він отримав погану оренду dhcp. Захоплення пакетів повинно мати mac-адресу системи, яка надіслала пропозицію. Простежте це.

— yoonix

7

Чи можете ви відключити все від мережі та повернути речі по черзі в мережу?

— РС

1

1) Ви, ймовірно, можете бачити MAC сервера-шахрая (якщо троянин не змінив його), і - якщо у вас немає списку з MAC-адрес ваших клієнтів - ви можете grepце зробити у своєму попередньому (поки що чисті) журнали DHCP. 2) Якщо нічого іншого не працює: витягніть половину машин із мережі, перевірте, чи він все ще є тут. Тож ви дізнаєтесь, у якій половині поганий хлопець. Тоді так само у знайденій половині тощо.

— Peterh каже відновити Моніку

4

Який роутер? Можливо, сам маршрутизатор заражений.

— J ...

1

Який тип комутатора у вас є? керований чи некерований? Бренд? Модель? Залежно від можливостей комутатора у вас може бути ще кілька можливостей вирішити проблему.

— Раффаель Лютігер

53

На одному з постраждалих клієнтів Windows запускається захоплення пакетів (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer тощо), після чого з підвищеної командної лінії запустіть ipconfig / release . Клієнт DHCP відправить DHCPRELEASEповідомлення на сервер DHCP про те, що отримав його ip-адресу. Це повинно дозволяти вам отримати MAC-адресу шахрайського DHCP-сервера, яку ви зможете відстежити в таблиці MAC-адреси комутатора, щоб дізнатись, до якого порту комутатора підключено, а потім простежити цей порт перемикання на мережевий гніздо та підключений пристрій в це.

— joeqwerty
джерело

1

Як я можу переглянути MAC-адресу та таблиці ARP некерованого комутатора?

— Дай

25

@Dai Крок 0: Купуйте керовані комутатори. Я знаю, що це не завжди варіант, але, як правило, ваша мережа або достатньо велика, щоб зробити їх вартими, або досить маленькими, щоб не важко було обійтись до кожної машини і допитати її.

— Олі

1

@Dai Що марку та модель - це перемикач?

— Хаген фон Ейтцен

19

Якщо у вас є некерований комутатор, mac-адреса все ще дає вам щось з чим працювати - ви можете шукати постачальника, щоб мати уявлення про те, яку фірмову техніку шукати, і ви можете використовувати такий інструмент, як arping, щоб пінг-файли ви відключите порти комутаторів, щоб визначити, до якого порту підключено.

— Майкл Коне

2

Що сказав @Oli Якщо у вас в цей день і вік немає повністю керованої інфраструктури комутаторів, ваша проблема полягає в тому, що ви не можете знайти негідний DHCP-сервер. Це те, що ви нічого не можете знайти .

— MadHatter підтримує Моніку

37

Знайшов це!! Це була моя мережева камера D-Link DCS-5030L! Я поняття не маю, чому це сталося. Ось як я це знайшов.

Я змінив IP-адресу свого ноутбука на 10.255.255.150/255.255.255.0/10.255.255.1 та DNS-сервер 8.8.8.8, щоб він опинився в діапазоні того, що вимикав негідний dhcp.
Потім я зробив ipconfig / all, щоб заповнити таблицю ARP.
Зробив arp -a, щоб отримати список IP-адрес у таблиці, і там була MAC-адреса 10.255.255.1, яка є шлюзом шахрайського DHCP-сервера!
Потім я використовував Wireless Network Watcher від Nirsoft.net, щоб я міг знайти Справжню IP-адресу пристрою з MAC-адреси, яку я знайшов. Фактична IP-адреса Rogue DHCP становила 192.168.0.153, яку динамічно підбирала камера.
Потім я зайшов на веб-сторінку камери і побачив, що вона раніше була встановлена на 192.168.0.20, яка була IP-адресою сервера DHCP rouge.
Потім я переключив його на статичну IP-адресу і зберігав її як 192.160.0.20.

Тепер я можу продовжувати своє життя !! Дякую всім за підтримку.

— Дейв Стюарт
джерело

25

Якщо у вашій мережевій камері працював сервер DHCP, я підозрюю, що це було порушено зловмисне програмне забезпечення. Жодна камера не запускала DHCP спеціально. Я переглянув це на документації D-Link, і він має таку здатність запускати сервер, але був би дуже здивований, якби він був налаштований таким чином. Перевірте це на наявність шкідливих програм, багато камер таким чином викрадено.

— Зан Лінкс

3

Чому у світі мережева камера має сервер DHCP ???

— RonJohn

14

@RonJohn, щоб ви могли отримати доступ до його веб-сторінки конфігурації в автономній мережі, яка не має власного сервера DHCP. Я погоджуюся з тим, що на такому пристрої нерозумно мати сервер DHCP, але саме тому вони роблять це.

— Моше Кац

7

@ZanLynx Жодна камера не запускала DHCP спеціально ... ви не зустрічали багато менеджерів програмної інженерії;)

— txtechhelp

3

S в IoT виступає за безпеку.

— Патрік М

18

Зробіть двійковий пошук.

Від'єднайте половину кабелів
Використовуючи тест '/ ipconfig release', якщо він все ще є
Якщо так, відключіть ще половину залишку та перейдіть до 2
Якщо ні, підключіть половину раніше відключеної першої половини, відключіть другу половину та перейдіть до 2

Це розділить мережу на два наступні тести, тому якщо у вас є 1000 машин, вам знадобиться до 10 тестів, щоб знайти окремий порт, на якому працює сервер DHCP.

Ви витратите багато часу на підключення та відключення пристроїв, але це звузить його до dhcp-сервера без багато додаткових інструментів і методів, тому він працюватиме в будь-якому середовищі.

— Адам Девіс
джерело

3

Кращий спосіб здійснити пошук відключеного пошуку без керованого перемикача. +1

— Todd Wilcox

Я б пішов за самими вимикачами, а не машинами. Це звузить його до одного перемикача досить легко.

— Лорен Печтел

@LorenPechtel так, якщо у вас є кілька комутаторів, то для двійкового алгоритму може знадобитися відключення лише одного або двох кабелів для відключення половини мережі.

— Адам Девіс

17

Ви могли просто:

Відкрийте центр мережі та спільного доступу (від запуску або клацання правою кнопкою миші на значку мережевого лотка), натисніть синє посилання на з'єднання -> деталі.
знайти ipv4 dhcp адресу (у цьому прикладі це 10.10.10.10)
Відкрийте командний рядок у меню "Пуск".
ping що ip, наприклад ping 10.10.10.10, це змушує комп'ютер шукати MAC-адресу сервера dhcp і додавати його до таблиці ARP, майте на увазі, що ping може вийти з ладу, якщо брандмауер блокує його, це нормально і не спричинить проблем.
робити arp -a| findstr 10.10.10.10. Це запитує таблицю arp для MAC-адреси.

Ви побачите щось на кшталт:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Середній запис - MAC-адреса.

Потім подивіться це в таблиці MAC / Port комутаторів відповідно до відповіді joeqwerty, відправте повідомлення, якщо вам потрібна допомога в цьому.

Не потрібно встановлювати проводку.

— Аарон Тейт
джерело

4

ОП заявив, що він не в змозі надіслати піктограму ip-адреси сервера DHCP і не зміг знайти MAC-адресу у своїй таблиці ARP, через що я розмістив свою відповідь. Він може або не мати успіху з вашою пропозицією, але ваш набагато простіший і простіший підхід.

— joeqwerty