Como posso encontrar servidores DHCP adicionais que possam ter sido instalados em minha rede por um intruso?

Question

Como posso encontrar servidores DHCP adicionais que possam ter sido instalados em minha rede por um intruso?

#1 resposta do (3 votos)
#2 resposta do (0 votos)

0

Veja esta pergunta para o fundo: É possível esconder a presença de alguém a lista de clientes DHCP

O nmap encontra todos os clientes conectados para mim, e eu não tive nenhum problema nessa frente desde que mudei minhas senhas, etc.

Mas meu roteador ainda se comporta de forma estranha (desconectando aleatoriamente, etc), o que não aconteceu antes da intrusão. Então eu suspeito que alguns remanescentes da intrusão ainda restem. Talvez um servidor DHCP desonesto, como mencionado na pergunta anterior.

Mas como encontro esse servidor? Ou deveria o nmap ter encontrado um, se existisse?

P.S: Ao olhar para os serviços em execução no roteador, eu encontrei - além da coisa TCP / IP normal - um servidor "eDonkey". Isso parece ser uma tecnologia completamente desatualizada, por isso é possível que ele seja fornecido com o roteador (um modelo Belkin N150) por padrão. Ou poderia ser algo que um intruso poderia ter usado? Se assim for, eu vou fazer uma pergunta separada sobre o fechamento.

networking dhcp router wireless-networking

por Dev Kanchen 24.10.2014 / 07:25

2 respostas

0

Um aplicativo como o dhcploc.exe ajudará a encontrar servidores DHCP que estejam ocultos na sua rede.

Utilitário DHCPLOC no Microsoft Technet

por 24.10.2014 / 09:33

Tags networking dhcp router wireless-networking

Separar uma célula pela primeira ocorrência de um número Vendo e-mails sinalizados no Outlook (Hotmail)

score 3 · Accepted Answer

A maneira mais simples de rastrear servidores DHCP é emitir uma solicitação DHCP e ver quais respostas.

Isto é mais fácil de uma caixa Linux, mas você também pode fazê-lo a partir de uma máquina Windows.

Para Linux e Windows, você pode usar wireshark para monitorar a interface relevante filtrada para a porta udp 67-68

Para o Windows, mude para um ip estático e, em seguida, para um dhcp ip. Isso acionará uma solicitação do dhcp:

netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp

Para o linux, você pode (garantir que o NetworkManager ou qualquer outro serviço de gerenciamento de rede não esteja sendo executado):

ifconfig eth0 down
ifconfig eth0 up
dhclient eth0

Então observe o que acontece no wireshark. Você deve ver a solicitação DHCP como uma transmissão e, em seguida, uma série de endereços IP enviará uma resposta.

O EDonkey é um software de compartilhamento de arquivos, geralmente usado para piratear dados. Há pouca chance de que isso tenha sido instalado ou ativado no seu roteador pelo fornecedor.