Rogue DHCP-сервер не может быть найден

44

За последние 3-4 недели я пытался найти мошеннический DHCP-сервер в моей сети, но был в тупике! Он предлагает IP-адреса, которые не работают с моей сетью, поэтому любое устройство, которому требуется динамический адрес, получает его от Rogue DHCP, а затем это устройство перестает работать. Мне нужна помощь, чтобы найти и уничтожить эту вещь! Я думаю, что это может быть какой-то троян.

Мой основной маршрутизатор является единственным действующим сервером DHCP и имеет 192.168.0.1, который предлагает диапазон 192.160.0.150-199, и я настроил его в моей AD как авторизованный. Этот ROGUE DHCP утверждает, что он пришел с 192.168.0.20 и предлагает IP-адрес в диапазоне 10.255.255. *, Который портит ВСЕ в моей сети, если я не назначу ему статический IP-адрес. 192.168.0.20 не существует в моей сети.

Моя сеть - это один сервер AD на Windows 2008R2, 3 других физических сервера (1-2008R2 и 2 2012R2), около 4 виртуальных машин Hypervisor, 3 ноутбука и Windows 7.

Я не могу пропинговать IP-адрес мошенника 192.160.0.20 и не вижу его на выходе ARP -A, поэтому не могу получить его MAC-адрес. Я надеюсь, что кто-то, читающий этот пост, сталкивался с этим раньше.

networking dhcp-server

— Дейв Стюарт
источник

12

Я не помогаю на стороне Windows, но если бы я был в Linux, я бы просто взял перехват пакета с tcpdump на клиенте, поскольку он получил плохую аренду dhcp. Захват пакета должен иметь mac-адрес системы, отправившей предложение. Проследи это.

— yoonix

7

Можете ли вы отключить все и положить вещи в сеть по одному?

— RS

1

1) Скорее всего, вы можете видеть MAC-адрес мошеннического сервера (если троян не изменил его), и - если у вас нет списка из MAC-адресов ваших клиентов - тогда вы можете узнать grepего ранее (пока). чисто) DHCP логи. 2) Если ничего другого не работает: отключите половину машин из сети, проверьте, все ли еще он здесь. Таким образом, вы будете знать, в какой половине это плохой парень. Потом так же в найденной половине и так далее.

— Петер говорит восстановить Монику

4

Какой роутер? Возможно, сам маршрутизатор заражен.

— J ...

1

Какой тип переключателя у вас есть? управляемый или неуправляемый? Марка? Модель? В зависимости от возможностей коммутатора у вас может быть больше возможностей для решения проблемы.

— Рафаэль Лютигер

53

На одном из уязвимых клиентов Windows запустите захват пакетов (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer и т. Д.), Затем из командной строки с повышенными привилегиями запустите ipconfig / release . DHCP-клиент отправит DHCPRELEASEсообщение DHCP-серверу, с которого он получил свой IP-адрес. Это должно позволить вам получить MAC-адрес мошеннического DHCP-сервера, который затем можно отследить в таблице MAC-адресов коммутатора, чтобы выяснить, к какому порту коммутатора он подключен, а затем отследить этот порт коммутатора до сетевого разъема и подключенного устройства. внутрь.

— joeqwerty
источник

1

Как я могу просмотреть таблицы MAC-адресов и ARP неуправляемого коммутатора?

— Дай

25

@Dai Шаг 0: купить управляемые коммутаторы. Я знаю, что это не всегда вариант, но обычно ваша сеть либо достаточно велика, чтобы их стоило того, либо достаточно мала, чтобы не было тяжелой работы, чтобы обойти каждую машину и опросить ее.

— Оли

1

@Dai Какие марки и модели это переключатель?

— Хаген фон

19

Если у вас есть неуправляемый коммутатор, MAC-адрес по-прежнему дает вам возможность поработать - вы можете найти поставщика, чтобы у вас было представление о том, какую марку оборудования искать, и вы можете использовать такой инструмент, как arping, чтобы пинговать руж, пока Вы отключаете порты коммутатора, чтобы определить, к какому порту он подключен.

— Майкл Кохне

2

Что сказал @ Оли. Если в наше время у вас нет полностью управляемой инфраструктуры коммутаторов, ваша проблема не в том, что вы не можете найти мошеннический DHCP-сервер. Это , что вы не можете найти что - нибудь .

— MadHatter поддерживает Монику

37

Нашел это !! Это была моя сетевая камера DCS-5030L D-Link! Я понятия не имею, почему это произошло. Вот как я это нашел.

Я изменил IP-адрес своего ноутбука на 10.255.255.150/255.255.255.0/10.255.255.1 и DNS-сервер 8.8.8.8, чтобы он находился в диапазоне от того, что выдавал мошеннический dhcp.
Затем я сделал ipconfig / all для заполнения таблицы ARP.
Сделал arp -a, чтобы получить список IP-адресов в таблице, и был MAC-адрес для 10.255.255.1, который является шлюзом мошеннического DHCP-сервера!
Затем я использовал Wireless Network Watcher от Nirsoft.net, чтобы найти НАСТОЯЩИЙ IP-адрес устройства по найденному MAC-адресу. Фактический IP-адрес Rogue DHCP был 192.168.0.153, который был динамически обнаружен камерой.
Затем я вошел на веб-страницу камеры и увидел, что ранее ей было присвоено значение 192.168.0.20, которое было IP-адресом DHCP-сервера румян.
Затем я переключил его на статический IP и сохранил его как 192.160.0.20.

Теперь я могу жить своей жизнью !! Спасибо всем за поддержку.

— Дейв Стюарт
источник

25

Если ваша сетевая камера работала с сервером DHCP, я подозреваю, что он был скомпрометирован вредоносным ПО. Ни одна камера не будет запускать DHCP специально. Я посмотрел его в документации D-Link, и у него есть такая возможность запустить сервер, но я был бы очень удивлен, если бы он был настроен таким образом специально. Проверьте его на наличие вредоносных программ, многие камеры были взломаны таким образом.

— Zan Lynx

3

Почему в мире сетевая камера имеет DHCP-сервер ???

— RonJohn

14

@RonJohn, чтобы вы могли получить доступ к его веб-странице конфигурации в автономной сети, которая не имеет собственного DHCP-сервера. Я согласен, что для такого устройства глупо иметь DHCP-сервер, но по этой причине они это делают.

— Моше Кац

7

@ZanLynx Ни одна камера не будет запускать DHCP специально ... вы не встречали многих менеджеров по разработке программного обеспечения, не так ли;)

— txtechhelp

3

S в IoT выступает за безопасность.

— Патрик М

18

Сделайте бинарный поиск.

Отсоединить половину кабелей
Использование теста '/ ipconfig release', если он все еще там
Если это так, отключите другую половину от оставшегося и перейдите к 2
Если нет, повторно подключите половину ранее отсоединенной первой половины, отсоедините вторую половину и перейдите к 2.

Это разделит сеть на два последовательных теста, поэтому если у вас 1000 машин, вам может потребоваться до 10 тестов, чтобы найти отдельный порт, на котором работает DHCP-сервер.

Вы потратите много времени на подключение и отключение устройств, но это сузит его до сервера dhcp без большого количества дополнительных инструментов и методов, поэтому он будет работать в любой среде.

— Адам Дэвис
источник

3

Лучший способ сделать неуправляемый переключатель отключить поиск. +1

— Тодд Уилкокс

Я бы пошел за самими переключателями, а не за машинами. Это сузит его до одного переключателя довольно легко.

— Лорен Печтел

@LorenPechtel Да, если у вас есть несколько коммутаторов, двоичный алгоритм может потребовать отсоединения только одного или двух кабелей для отключения половины сети.

— Адам Дэвис

17

Вы могли бы просто:

Откройте центр управления сетями и общим доступом (с самого начала или щелкните правой кнопкой мыши значок сетевого лотка), щелкните синюю ссылку подключения -> подробности.
найти адрес ipv4 dhcp (в данном примере это 10.10.10.10)
Откройте командную строку из меню «Пуск».
ping that ip Например ping 10.10.10.10, это заставляет компьютер искать MAC-адрес dhcp-сервера и добавлять его в таблицу ARP, помнить, что ping может произойти сбой, если его блокирует брандмауэр, это нормально и не вызовет проблем.
делать arp -a| findstr 10.10.10.10. Это запрашивает таблицу arp для MAC-адреса.

Вы увидите что-то вроде:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Средняя запись - это MAC-адрес.

Затем найдите его в таблице MAC / Port коммутаторов в соответствии с ответом joeqwerty, напишите, если вам нужна помощь в этом.

Не нужно устанавливать Wireshark.

— Аарон Тейт
источник

4

ОП сказал, что он не смог пропинговать IP-адрес DHCP-сервера и не смог найти MAC-адрес в своей таблице ARP, поэтому я опубликовал свой ответ. Он может иметь или не иметь успеха с вашим предложением, но ваш - намного более простой, более простой подход.

— Joeqwerty