Nieuczciwy serwer DHCP Nie można znaleźć

44

W ciągu ostatnich 3-4 tygodni próbowałem znaleźć nieuczciwy serwer DHCP w mojej sieci, ale zostałem zablokowany! Oferuje adresy IP, które nie działają z moją siecią, więc każde urządzenie, które potrzebuje adresu dynamicznego, pobiera je z fałszywego DHCP, a następnie to urządzenie przestaje działać. Potrzebuję pomocy, aby znaleźć i zniszczyć to! Myślę, że może to być jakiś trojan.

Mój główny router jest jedynym prawidłowym serwerem DHCP i ma numer 192.168.0.1, który oferuje zakres 192.160.0.150-199, i mam to skonfigurowane w mojej usłudze AD jako autoryzowane. Ten ROGUE DHCP twierdzi, że pochodzi z 192.168.0.20 i oferuje adres IP z zakresu 10.255.255. *, Który psuje WSZYSTKO w mojej sieci, chyba że przypiszę mu statyczny adres IP. 192.168.0.20 nie istnieje w mojej sieci.

Moja sieć to pojedynczy serwer AD w systemie Windows 2008R2, 3 inne serwery fizyczne (1-2008R2 i 2 2012R2) o 4 maszynach wirtualnych Hypervisor, 3 laptopach i pudełku z systemem Windows 7.

Nie mogę pingować fałszywego adresu IP 192.160.0.20 i nie widzę go w wyjściu ARP -A, więc nie mogę uzyskać jego adresu MAC. Mam nadzieję, że ktoś, kto przeczytał ten post, zetknął się z tym wcześniej.

Dave Stuart
źródło
12
Nie mam żadnej pomocy po stronie systemu Windows, ale gdybym był na Linuksie, po prostu wziąłbym przechwytywanie pakietów za pomocą tcpdump na kliencie, ponieważ uzyskał on wadliwą dzierżawę dhcp. Przechwytywanie pakietów powinno mieć adres mac systemu, który wysłał ofertę. Śledź to.
yoonix
7
Czy potrafisz odłączyć wszystko od siebie i ponownie podłączyć do sieci pojedynczo?
RS
1
1) Prawdopodobnie możesz zobaczyć MAC fałszywego serwera (jeśli trojan go nie zmienił) i - jeśli nie masz listy z adresów MAC twoich klientów - możesz to grepzrobić wcześniej (jeszcze wyczyść) dzienniki DHCP. 2) Jeśli nic innego nie działa: wyciągnij połowę maszyn z sieci, sprawdź, czy nadal tu jest. Dowiesz się, w której połowie złego faceta. Więc to samo w znalezionej połowie i tak dalej.
Peter mówi, że przywróć Monikę
4
Jaki router? Możliwe, że sam router jest zainfekowany.
J ...
1
Jaki masz typ przełącznika? zarządzany czy niezarządzany? Marka? Model? W zależności od możliwości przełącznika możesz mieć więcej możliwości rozwiązania problemu.
Raffael Luthiger,

Odpowiedzi:

53

Na jednym z klientów systemu Windows, którego dotyczy problem, uruchom przechwytywanie pakietów (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer itp.), A następnie z wiersza polecenia z podwyższonym poziomem uprawnień uruchom polecenie ipconfig / release . Klient DHCP wyśle DHCPRELEASEwiadomość do serwera DHCP, z którego uzyskał swój adres IP. Powinno to umożliwić uzyskanie adresu MAC nieuczciwego serwera DHCP, który można następnie wyśledzić w tabeli adresów MAC przełącznika, aby dowiedzieć się, do którego portu przełącznika jest podłączony, a następnie prześledzić port przełącznika do gniazda sieciowego i podłączonego urządzenia w tym.

joeqwerty
źródło
1
Jak mogę wyświetlić adres MAC i tabele ARP niezarządzanego przełącznika?
Dai
25
@Dai Krok 0: Kup przełączniki zarządzane. Wiem, że nie zawsze jest to opcja, ale zazwyczaj twoja sieć jest wystarczająco duża, aby były tego warte, lub wystarczająco mała, aby nie było ciężko pracować po każdej maszynie i przesłuchiwać jej.
Oli
1
@Dai Jakiej marki i modelu jest przełącznik?
Hagen von Eitzen
19
Jeśli masz niezarządzany przełącznik, adres mac nadal daje ci coś do pracy - możesz sprawdzić sprzedawcę , abyś miał pomysł, jakiej marki sprzętu szukać, ORAZ możesz użyć narzędzia, takiego jak arping, aby pingować szminkę, podczas gdy odłączasz porty przełącznika, aby dowiedzieć się, do którego portu jest podłączony.
Michael Kohne,
2
Co powiedział @Oli. Jeśli w dzisiejszych czasach nie masz w pełni zarządzalnej infrastruktury przełączników, problemem nie jest to, że nie możesz znaleźć nieuczciwego serwera DHCP. Po prostu nic nie możesz znaleźć .
MadHatter obsługuje Monikę
37

Znaleziono to !! To była moja kamera sieciowa DCS-5030L D-Link! Nie mam pojęcia, dlaczego tak się stało. Tak to znalazłem.

  1. Zmieniłem adres IP mojego laptopa na 10.255.255.150/255.255.255.0/10.255.255.1 i serwer DNS 8.8.8.8, aby mieścił się w zakresie tego, co wymykałby się nieuczciwy dhcp.
  2. Zrobiłem ipconfig / all, aby zapełnić tabelę ARP.
  3. Czy arp -a, aby uzyskać listę adresów IP w tabeli i był adres MAC 10.255.255.1, który jest bramą nieuczciwego serwera DHCP!
  4. Następnie użyłem Wireless Network Watcher z Nirsoft.net, aby znaleźć PRAWDZIWY adres IP urządzenia na podstawie znalezionego adresu MAC. Rzeczywiste IP fałszywego DHCP to 192.168.0.153, które zostało dynamicznie odebrane przez kamerę.
  5. Następnie zalogowałem się na stronie internetowej Camera i zobaczyłem, że wcześniej była ustawiona na 192.168.0.20, czyli adres IP serwera DHCP Rouge.
  6. Następnie zmieniłem go na statyczny adres IP i zachowałem go jako 192.160.0.20.

Teraz mogę żyć dalej !! Dziękujemy wszystkim za wsparcie.

Dave Stuart
źródło
25
Jeśli Twoja kamera sieciowa ma serwer DHCP, podejrzewam, że został on zainfekowany złośliwym oprogramowaniem. Żadna kamera nie uruchomi DHCP celowo. Sprawdziłem to w dokumentacji D-Link i ma ona zdolność do uruchamiania serwera, ale byłbym bardzo zaskoczony, gdyby został tak skonfigurowany celowo. Sprawdź, czy nie ma złośliwego oprogramowania, w ten sposób porwano wiele kamer.
Zan Lynx,
3
Dlaczego na świecie kamera sieciowa miałaby serwer DHCP?
RonJohn
14
@RonJohn, abyś mógł uzyskać dostęp do strony konfiguracji w autonomicznej sieci, która nie ma własnego serwera DHCP. Zgadzam się, że to głupie, że takie urządzenie ma serwer DHCP, ale to jest powód, dla którego to robią.
Moshe Katz
7
@ZanLynx Żadna kamera nie uruchomiłaby DHCP celowo ... nie spotkałeś już wielu menedżerów inżynierii oprogramowania;)
txtechhelp
18

Wykonaj wyszukiwanie binarne.

  1. Odłącz połowę kabli
  2. Za pomocą testu „/ ipconfig release”, jeśli nadal tam jest
  3. Jeśli tak, odłącz drugą połowę pozostałych i przejdź do 2
  4. Jeśli nie, podłącz ponownie połowę poprzednio odłączonej pierwszej połowy, odłącz drugą połowę i przejdź do 2

Spowoduje to podzielenie sieci na dwie kolejne testy, więc jeśli masz 1000 komputerów, znalezienie pojedynczego portu, na którym działa serwer DHCP, może zająć do 10 testów.

Spędzisz dużo czasu na podłączaniu i odłączaniu urządzeń, ale zawęzi to do serwera dhcp bez wielu dodatkowych narzędzi i technik, dzięki czemu będzie działać w każdym środowisku.

Adam Davis
źródło
3
Lepszy sposób na wykonanie wyszukiwania niezarządzanego przełącznika po odłączeniu. +1
Todd Wilcox
Wolałbym raczej same przełączniki niż maszyny. To dość łatwo zawęzi go do jednego przełącznika.
Loren Pechtel
@LorenPechtel tak, jeśli masz wiele przełączników, algorytm binarny może wymagać jedynie odłączenia jednego lub dwóch kabli w celu odłączenia połowy sieci.
Adam Davis,
17

Możesz po prostu:

  • Otwórz centrum sieci i udostępniania (albo od początku, albo kliknij prawym przyciskiem myszy ikonę zasobnika sieciowego), kliknij niebieski link do połączenia -> szczegóły.
  • znajdź adres IPv4 dhcp (w tym przykładzie jest to 10.10.10.10)
  • Otwórz wiersz polecenia z menu Start.
  • ping ten ip np. ping 10.10.10.10zmusza komputer do wyszukania adresu MAC serwera dhcp i dodania go do tabeli ARP, pamiętaj, że ping może się nie powieść, jeśli blokuje go zapora ogniowa, jest to w porządku i nie spowoduje problemów.
  • zrobić arp -a| findstr 10.10.10.10. To wysyła zapytanie do tablicy arp o adres MAC.

Zobaczysz coś takiego:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Środkowy wpis to adres MAC.

Następnie sprawdź to w tabeli przełączników MAC / Port zgodnie z odpowiedzią joeqwerty, odeślij, jeśli potrzebujesz pomocy.

Nie ma potrzeby instalowania Wireshark.

Aaron Tate
źródło
4
OP powiedział, że nie był w stanie pingować adresu IP serwera DHCP i nie był w stanie znaleźć adresu MAC w swojej tabeli ARP, dlatego opublikowałem swoją odpowiedź. Może lub nie odniesie żadnego sukcesu z twoją sugestią, ale twoje jest zdecydowanie prostsze, bardziej bezpośrednie podejście.
joeqwerty