Як я можу знайти будь-які додаткові DHCP-сервери, які могли бути встановлені в мою мережу зловмисником?

0

Дивіться це запитання для фону: Чи можна приховати свою присутність зі списку клієнтів DHCP

nmap знаходить для мене всі підключені клієнти, і я не мав жодних проблем на цьому фронті, оскільки змінював свої паролі тощо.

Але мій маршрутизатор все ще поводиться дивно (відключаючи випадково, і т.д.), які не відбулися до вторгнення. Так що я підозрюю, що деякі залишки втручання все ще залишилися. Можливо, шахрайський сервер DHCP, як згадувалося в попередньому питанні.

Але як я можу знайти такий сервер? Або ж nmap знайшов би один, якщо він існував?

P.S: Дивлячись на сервіси, що працюють на маршрутизаторі, я знайшов - крім звичайної TCP / IP - сервер "eDonkey". Це виглядає як повністю застаріла технологія, тому, можливо, вона поставляється з маршрутизатором (модель Belkin N150) за замовчуванням. Або це може бути щось зловмисник, який міг би використати? Якщо так, то я запитую окреме питання про його закриття.

networking  wireless-networking  router  dhcp 
Dev Kanchen
джерело

Відповіді:

3

Найпростіший спосіб відстежувати DHCP-сервери - це видати запит DHCP і переглянути відповіді.

Це найпростіше з коробки Linux, але ви також можете зробити це з машини Windows.

Для Linux і Windows, ви можете використовувати wireshark для моніторингу відповідного інтерфейсу, фільтрованого для портів 67-68

Для Windows, перемкніть на статичний ip, потім на dhcp ip. Це викличе запит dhcp: 

netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp

Для linux можна (переконайтеся, що NetworkManager або інші служби керування мережею не працюють): 

ifconfig eth0 down
ifconfig eth0 up
dhclient eth0

Потім спостерігайте, що відбувається в wireshark. Ви повинні побачити, що запит DHCP вийде як трансляція, тоді серія IP-адрес надішле відповідь.

EDonkey - це програмне забезпечення для обміну файлами, яке часто використовується для піратських даних. Існує дуже невелика ймовірність, що цей компонент буде встановлено або включено на вашому маршрутизаторі.

Paul
джерело
У Windows буде достатньо, якщо команди "ipconfig / release" і "ipconfig / renew" будуть видані.
user3767013
Вибачте, що не згадали ОС - це OSX. Я припускаю, що однакові команди працюватимуть, і що деякі послуги "Менеджмент мережі" будуть запущені. У такому випадку, чи буде просто вимкнення і повернення назад на WiFi адаптер, досягти того ж ефекту?
Dev Kanchen
Я спробував всі 3 - використовуючи цей підхід, вимикаючи і вимикаючи Wi-Fi знову, і, нарешті, DHCPLOC інструмент, рекомендований @ theoriginalzads в його відповіді. Це підтверджує, що шахрайський сервер DHCP не є джерелом моїх проблем. Дякую за допомогу!
Dev Kanchen
0

Таке додаток, як dhcploc.exe, допоможе знайти DHCP-сервери, які ховаються у вашій мережі.

Утиліта DHCPLOC на Microsoft Technet

theoriginalzads
джерело
Я можу закрутити Windows PC, але чи є еквівалент Mac / Unix для цього інструменту? Дякую.
Dev Kanchen
Дякуємо за цей відгук - я буду плюс-1 пізніше, коли мені вистачить реп.
Dev Kanchen
ipconfig getoption en0 server_identifier для OS X, що не має досвіду роботи з Unix, я припускаю, що це те ж саме.
theoriginalzads
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.