Журналы DHCPD показывают ПК, запрашивающий IP-адреса от маршрутизатора, когда они выключены. Наши лог-файлы неверны?


7

У нас небольшой офис, и при проверке журналов маршрутизатора я заметил, что некоторые компьютеры запрашивают IP-адрес у офисного маршрутизатора в нерабочее время.

Это вывод файла журнала:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Сотрудники выключают свои компьютеры, когда заканчивают работу. Я подтвердил, что все зарегистрированные MAC-адреса, кроме двух, принадлежат компьютерам в нашем офисе.

Недавно у нас было нарушение безопасности. Сбрасываем роутер, все пароли администратора и пароли WiFi.

Возможно ли, чтобы эти компьютеры включали себя в нерабочее время и делали себя доступными для людей за пределами нашей сети?

Ответы:


7

Задайте первый вопрос:

Возможно ли, что эти компьютеры поворачиваются сами…

Да, компьютеры могут включаться самостоятельно и уже давно имеют такую ​​возможность. Для IBM-совместимых ПК это нормально, так как они получили блоки питания ATX. (С 1995 года). Если вы переходите к прошивке материнских плат (иначе BIOS или UEFI), у вас часто есть возможность настроить это. Очень полезно, если у вас есть старый компьютер и вы хотите, чтобы он включился и загрузился до того, как вы попали в офис.


Вторая часть вашего вопроса

... и сделать себя доступным для людей за пределами нашей сети?

не зависит от первой части. Если это происходит при включении компьютеров (независимо от того, включены они самостоятельно или нажатием кнопки питания), у вас возникла проблема. Если это так, то нарушение безопасности еще не устранено.


Наконец, если у вас есть MAC-адрес, вы можете просмотреть первые три байта. Они скажут вам, какие производители сделали сетевую карту, которая запрашивает IP. Это может помочь определить источник (например, только запросы DHCP с принтеров или с мобильных (личных?) Телефонов ...

Я посмотрел адреса в вашем посте:

MAC-адреса, начинающиеся с F8:0F:41или 98:EE:CBпринадлежащие Wistron InfoComm . Согласно Википедии, эта фирма производит планшеты, мобильные телефоны и другие устройства под управлением Chrome OS .

MAC-адреса, начинающиеся с, 64:EB:8Cпринадлежат Seiko Epson Corporation. Это могут быть принтеры (опять же, принтеры, вероятно, имеют собственный диапазон IP-адресов в офисе, хотя, возможно, с зарезервированным MAC-адресом → IP-адрес на DHCP-сервере).

MAC-адреса, начинающиеся с, 4C:A1:61принадлежат Rain Bird Corporation. Каждый поиск, который я проводил по этому имени, приводил к появлению спринклерной фирмы.


В заключение:

Наши лог-файлы неверны?

Сомневаюсь. Кажется, что-то запрашивает информацию об IP. Это регистрируется. Нет ошибок в регистрации. Большая проблема в том, почему они делают это в нерабочее время? Существует ли спринклерная система для газонов, которая включена весь день (и которая, вероятно, должна быть включена круглосуточно)? Есть ли принтеры, которые не выключены, а вместо этого переходят в спящий режим? Существуют ли ноутбуки или ПК, которые не отключаются должным образом, но вместо этого переходят в режим пониженного энергопотребления (спящий режим), обнаруживают низкий уровень заряда батареи и включение питания для перехода в режим глубокого сна?

По сути, выясните, какое устройство (должно быть легко, у вас есть MAC и IP-адреса, так что вы можете либо использовать документацию, чтобы посмотреть, какие это ПК, либо использовать маршрутизатор, чтобы узнать, какое это устройство). Затем исследуйте дальше от последних устройств. (В случае компьютера с Windows попробуйте powercfg lastwake).


За исключением того, что я недавно узнал, что MAC-адреса могут быть изменены. Comcast делает это часто на своих маршрутизаторах / модемах.
DocSalvager

MAC-адреса обычно встроены в ПЗУ NIC. Многие сетевые карты копируют это в свое рабочее пространство, что позволяет вам это изменить. Но если это изменить, то это становится работой человека, изменяющего это, чтобы быть уверенным на 100%, что это уникально в локальной сети. Что вы можете сделать, только если вы контролируете все [потенциальные] устройства в этой локальной сети. Поскольку это не дает никаких преимуществ и только создает потенциальные проблемы, нет веских причин когда-либо менять MAC.
Хенн

Может быть, я не должен расширять «нет веских причин». Есть два исключения: атаки отравления ARP (в качестве атакующего) и несколько десятилетий назад кабельные модемы Интернет-провайдеры поддерживали только один ПК на кабельный модем. Это было сделано путем разрешения доступа только с одного MAC. Как я знаю, это не использовалось в последние десятилетия, поэтому любые обходные пути для этого, вероятно, взяты из устаревших руководств. Что касается comcast, они меняют свой MAC или свое устройство (включая его MAC). Последнее кажется более вероятным и может быть связано с некоторой балансировкой нагрузки.
Хеннес
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.