Servidor DHCP desonesto Não foi encontrado

Navegue suas respostas
44

Nas últimas 3-4 semanas, tentei encontrar um servidor DHCP desonesto na minha rede, mas fiquei perplexo! Ele está oferecendo endereços IP que não funcionam com a minha rede, portanto, qualquer dispositivo que precise de um endereço dinâmico está obtendo um do Rogue DHCP e, em seguida, esse dispositivo pára de funcionar. Preciso de ajuda para encontrar e destruir essa coisa! Eu acho que pode ser um Trojan de algum tipo.

Meu roteador principal é o único servidor DHCP válido e é 192.168.0.1 que oferece um intervalo de 192.160.0.150-199, e eu tenho isso configurado no meu AD como autorizado. Este ROGUE DHCP afirma ser proveniente de 192.168.0.20 e oferecer um endereço IP no intervalo de 10.255.255. * Que está bagunçando TUDO na minha rede, a menos que eu atribua um endereço IP estático a ele. 192.168.0.20 não existe na minha rede.

Minha rede é um único servidor de AD no Windows 2008R2, 3 outros servidores físicos (1-2008R2 e 2 2012R2) sobre 4 VMs de hipervisor, 3 laptops e uma caixa do Windows 7.

Não consigo pingar o IP nocivo 192.160.0.20, e não consigo vê-lo na saída ARP -A, por isso não consigo obter seu endereço MAC. Espero que alguém que esteja lendo este post tenha se deparado com isso antes.

    
por Dave Stuart 15.08.2017 / 04:33

4 respostas

53

Em um dos clientes Windows afetados, inicie uma captura de pacote (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer etc.) e, em um prompt de comando com privilégios elevados, execute ipconfig / release . O cliente DHCP enviará uma mensagem DHCPRELEASE para o servidor DHCP do qual obteve o endereço IP. Isso deve permitir que você obtenha o endereço MAC do servidor DHCP invasor, que você pode rastrear na tabela de endereços MAC do switch para descobrir a porta de switch à qual está conectado e, em seguida, rastrear essa porta até o conector de rede e o dispositivo conectado para isso.

    
por 15.08.2017 / 04:51
37

Encontrei !! Foi a minha câmera de rede D-Link DCS-5030L! Eu não tenho idéia porque isso aconteceu. Foi assim que eu encontrei.

  1. Mudei o endereço IP do meu laptop para 10.255.255.150/255.255.255.0/10.255.255.1 e o Servidor DNS 8.8.8.8 para que ficasse no intervalo do que o dhcp desonesto estava distribuindo.
  2. Eu então fiz um ipconfig / all para preencher a tabela ARP.
  3. Fiz um arp -a para obter uma lista dos IPs na tabela e havia o endereço MAC para 10.255.255.1, que é o gateway do servidor DHCP desonesto!
  4. Eu usei o Wireless Network Watcher da Nirsoft.net para encontrar o endereço IP real do dispositivo a partir do endereço MAC que encontrei. O IP real do Rogue DHCP foi 192.168.0.153, que foi dinamicamente captado pela Câmera.
  5. Eu, então, conectei-me à página da Web da câmera e vi que ela estava definida anteriormente como 192.168.0.20, que era o endereço IP do servidor DHCP do rouge.
  6. Então eu mudei para um IP estático e mantive-o como 192.160.0.20.

Agora eu posso continuar com a minha vida !! Obrigado a todos pelo apoio.

    
por 15.08.2017 / 19:54
18

Faça uma pesquisa binária.

  1. Desconecte metade dos cabos
  2. Usando o teste '/ ipconfig release' se ainda estiver lá
  3. Se sim, desconecte outra metade do restante e goto 2
  4. Se não, reconecte a metade da primeira metade desconectada anteriormente, desconecte a segunda metade e goto 2

Isso dividirá a rede em dois cada teste sucessivo, portanto, se você tiver 1.000 máquinas, poderá levar até 10 testes para encontrar a porta individual em que o servidor DHCP está sendo executado.

Você gastará muito tempo conectando e desconectando dispositivos, mas o restringirá ao servidor dhcp sem muitas ferramentas e técnicas adicionais, por isso funcionará em qualquer ambiente.

    
por 15.08.2017 / 18:33
17

Você poderia simplesmente:

  • Abra a rede e o centro de compartilhamento (seja de iniciar ou clique com o botão direito do mouse no ícone da bandeja de rede), clique no link de conexão azul - > detalhes.
  • encontre o endereço dhcp do ipv4 (neste exemplo é 10.10.10.10)
  • Abra o prompt de comando no menu Iniciar.
  • ping que ip eg ping 10.10.10.10 , isso força o computador a procurar o endereço MAC do servidor dhcp e adicioná-lo à tabela ARP, esteja ciente de que o ping pode falhar se houver um firewall bloqueando-o, isso é ok e não causa problemas.
  • do arp -a| findstr 10.10.10.10 . Isso consulta a tabela arp para o endereço MAC.

Você verá algo como: 

10.10.10.10       00-07-32-21-c7-5f     dynamic

A entrada do meio é o endereço MAC.

Em seguida, procure nos switches MAC / Port table como resposta de joeqwerty, poste de volta se precisar de ajuda com isso.

Não é necessário instalar o wireshark.

    
por 15.08.2017 / 06:05
Que bons podcasts de administradores de sistema estão por aí? Qual é a diferença entre os tipos de virtualização PV e HVM em ec2?