Vraag Rogue DHCP-server kan niet worden gevonden


In de afgelopen 3-4 weken heb ik geprobeerd een domme DHCP-server op mijn netwerk te vinden, maar ik ben stumped! Het biedt IP-adressen die niet werken met mijn netwerk, dus elk apparaat dat een dynamisch adres nodig heeft, krijgt er een van de Rogue DHCP en dan stopt dat apparaat met werken. Ik heb hulp nodig om dit ding te vinden en te vernietigen! Ik denk dat het een of andere Trojan is.

Mijn hoofdrouter is de enige geldige DHCP-server en is 192.168.0.1, die een bereik van 192.160.0.150-199 biedt, en ik heb deze in mijn AD als geautoriseerd geconfigureerd. Deze ROGUE DHCP claimt afkomstig te zijn van 192.168.0.20 en een IP-adres aan te bieden in het bereik van 10.255.255. * Wat ALLES op mijn netwerk verkloot, tenzij ik er een statisch IP-adres aan toewijs. 192.168.0.20 bestaat niet op mijn netwerk.

Mijn netwerk is een enkele AD Server op Windows 2008R2, 3 andere fysieke servers (1-2008R2 en 2 2012R2) ongeveer 4 Hypervisor VM's, 3 laptops en een Windows 7-box.

Ik kan de rogue 192.160.0.20 IP niet pingen, en ik kan het niet zien in de ARP -A-output, dus ik kan zijn MAC-adres niet krijgen. Ik hoop dat iemand die dit artikel leest dit al eerder is tegengekomen.


44
2017-08-15 02:33


oorsprong


Ik heb geen hulp aan de Windows-kant, maar als ik Linux gebruikte, zou ik gewoon een packet-capture met tcpdump op een client nemen omdat het een slechte DHCP-lease kreeg. De pakketopname moet het mac-adres hebben van het systeem dat de aanbieding heeft verzonden. Traceer dat. - yoonix
Kun je alles loskoppelen en dingen een voor een terugzetten op het netwerk? - R. S.
1) U kunt waarschijnlijk de MAC van de frauduleuze server zien (als de trojan deze niet heeft gewijzigd) en - als u geen lijst hebt van de MAC's van uw clients - dan kunt u grep daarvoor in uw eerdere (maar schone) DHCP-logs. 2) Als niets anders werkt: sluit de helft van de apparaten van het net af, controleer of hij nog steeds hier is. Dus je zult weten, in welke helft is de slechterik. Dan dus hetzelfde in gevonden helft, enzovoort. - peterh
Welke router? Het kan zijn dat de router zelf is geïnfecteerd. - J...
Welk type schakelaar heb je? beheerd of niet beheerd? Merk? Model? Afhankelijk van de mogelijkheden van de schakelaar, heeft u mogelijk nog meer mogelijkheden om het probleem op te lossen. - Raffael Luthiger


antwoorden:


Op een van de getroffen Windows-clients start een packet capture (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, enz.) En vervolgens vanuit een verhoogde opdrachtprompt ipconfig / release. De DHCP-client verzendt een DHCPRELEASE bericht naar de DHCP-server waarvan het het IP-adres heeft verkregen. Dit zou u moeten toelaten om het MAC-adres van de rogue DHCP-server te verkrijgen, die u vervolgens kunt opzoeken in de MAC-adreskaart van uw switch om uit te vinden met welke switchpoort hij is verbonden, en vervolgens die switchpoort naar de netwerkaansluiting traceert en het apparaat aansluit erin.


53
2017-08-15 02:51



Hoe kan ik het MAC-adres en de ARP-tabellen van een onbeheerde switch bekijken? - Dai
@Dai Stap 0: beheerde switches kopen. Ik weet dat dat niet altijd een optie is, maar doorgaans je netwerk is groot genoeg om ze de moeite waard te maken of klein genoeg om het niet moeilijk te maken om naar elke machine te lopen en het te ondervragen. - Oli
@Dai Wat voor merk en model is de schakelaar? - Hagen von Eitzen
Als je een onbeheerde switch hebt, geeft het mac-adres je nog steeds iets om mee te werken - je kunt de verkoper dus je hebt een idee naar welk merk hardware je moet zoeken EN je kunt een tool gebruiken zoals arping om de rouge te pingen terwijl je switchpoorten loskoppelt om uit te vinden op welke poort hij is aangesloten. - Michael Kohne
Wat zei @ Oli. Als u nog niet over een volledig beheerde switchinfrastructuur beschikt, is uw probleem niet dat u geen bedrieglijke DHCP-server kunt vinden. Het is dat je niet kunt vinden iets. - MadHatter


Gevonden!! Het was mijn DCS-5030L D-Link netwerkcamera! Ik heb geen idee waarom dit is gebeurd. Dit is hoe ik het heb gevonden.

  1. Ik veranderde het IP-adres van mijn laptop in 10.255.255.150/255.255.255.0/10.255.255.1 en de 8.8.8.8 van de DNS-server, zodat dit binnen het bereik zou liggen van wat de schurkenstaten dhcp aan het uitdelen waren.
  2. Ik deed toen een ipconfig / all om de ARP-tabel te vullen.
  3. Heeft een arp -a om een ​​lijst van de IP's in de tabel te krijgen en daar was het MAC-adres voor 10.255.255.1 dat de gateway is van de rogue DHCP-server!
  4. Ik heb toen Wireless Network Watcher van Nirsoft.net gebruikt, zodat ik het ECHTE IP-adres van het apparaat kon vinden op het MAC-adres dat ik vond. De werkelijke IP van de Rogue DHCP was 192.168.0.153, die dynamisch werd opgepikt door de camera.
  5. Ik meldde me vervolgens aan op de webpagina Camera en zag dat het eerder was ingesteld op 192.168.0.20, het IP-adres van de rouge DHCP-server.
  6. Dan schakelde ik het in een statische IP in en hield het als 192.160.0.20.

Nu kan ik doorgaan met mijn leven !! Iedereen bedankt voor de steun.


37
2017-08-15 17:54



Als uw netwerkcamera een DHCP-server draaide, vermoed ik dat deze is gehackt met malware. Er zou met opzet geen camera DHCP draaien. Ik heb het opgezocht in D-Link-documentatie en het heeft die mogelijkheid om een ​​server te draaien, maar het zou me zeer verbazen als het opzettelijk op die manier zou zijn geconfigureerd. Controleer het op malware, veel camera's zijn op die manier gekaapt. - Zan Lynx
Waarom zou een netwerkcamera ter wereld een DHCP-server hebben ??? - RonJohn
@RonJohn zodat u de configuratiepagina op een zelfstandig netwerk kunt openen dat geen eigen DHCP-server heeft. Ik ben het ermee eens dat het stom is als zo'n apparaat een DHCP-server heeft, maar dat is de reden dat ze het doen. - Moshe Katz
@ZanLynx Er zou met opzet geen camera DHCP draaien ... je hebt nog niet veel softwareontwikkelingsmanagers ontmoet;) - txtechhelp
De S in ivd staat voor veiligheid. - Patrick M


Doe een binaire zoekopdracht.

  1. Koppel de helft van de kabels los
  2. Gebruik de '/ ipconfig-release'-test als deze er nog is
  3. Als dat het geval is, ontkoppel dan nog een helft van de resterende en ga naar 2
  4. Als dit niet het geval is, sluit dan de helft van de eerder ontkoppelde eerste helft opnieuw aan, koppel de tweede helft los en ga naar 2

Dit verdeelt het netwerk in twee opeenvolgende tests in twee, dus als u 1000 computers hebt, kunt u maximaal tien tests uitvoeren om de individuele poort te vinden waarop de DHCP-server draait.

Je zult veel tijd besteden aan het aansluiten en loskoppelen van apparaten, maar het zal het beperken tot de DHCP-server zonder veel extra tools en technieken, dus het werkt in elke omgeving.


18
2017-08-15 16:33



Een betere manier om de unmanaged switch unplug search te maken. 1 - Todd Wilcox
Ik zou achter de schakelaars gaan in plaats van op de machines. Dat zal het gemakkelijk naar een schakelaar versmallen. - Loren Pechtel
@LorenPechtel Ja, als u meerdere switches hebt, hoeft het binaire algoritme mogelijk slechts één of twee kabels te ontkoppelen om de helft van het netwerk te ontkoppelen. - Adam Davis


Je zou gewoon:

  • Open het netwerk en het centrum (begin of klik met de rechtermuisknop op het pictogram in de netwerklade), klik op de blauwe verbindingslink -> details.
  • vind het ipv4 dhcp-adres (in dit voorbeeld is het 10.10.10.10)
  • Open de opdrachtprompt vanuit het startmenu.
  • ping die ip bijv ping 10.10.10.10, dit dwingt de computer om het MAC-adres van de dhcp-server op te zoeken en toe te voegen aan de ARP-tabel. Houd er rekening mee dat de ping mislukt als er een firewall is die deze blokkeert, dit is in orde en veroorzaakt geen problemen.
  • do arp -a| findstr 10.10.10.10. Hiermee wordt de arp-tabel voor het MAC-adres opgevraagd.

Je ziet zoiets als:

10.10.10.10       00-07-32-21-c7-5f     dynamic

De middelste invoer is het MAC-adres.

Zoek het dan op in de switches MAC / Port table volgens het antwoord van joeqwerty, post terug als je daar hulp bij nodig hebt.

Het is niet nodig om wireshark te installeren.


17
2017-08-15 04:05



Het OP zei dat hij het IP-adres van de DHCP-server niet kon pingen en niet in staat was het MAC-adres in zijn ARP-tabel te vinden. Daarom plaatste ik mijn antwoord. Hij kan wel of geen succes hebben met uw suggestie, maar de uwe is veruit een eenvoudigere, meer directe benadering. - joeqwerty