Como posso identificar um servidor DHCP não autorizado do IPv6 na minha LAN?

4

Este será um longo post, mas quero dar informações completas.

Tenho uma LAN doméstica / comercial com o isc-dhcp-server executando um servidor ipv4 dhcp e vinculo como um servidor DNS em execução em uma caixa do servidor ubuntu. Tenho negócios de comcast e o gateway tem todas as funções dhcp desativadas. Para matar o ipv6 até que eu esteja pronto para lidar com ele, em todas as minhas caixas linux, eu desabilitei o ipv6 com um comando grub e um parâmetro sysctl:

surfrock66@sr66-hp2:~/.scripts$ cat /etc/default/grub | grep -v "#"

GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR='lsb_release -i -s 2> /dev/null || echo Debian'
GRUB_CMDLINE_LINUX_DEFAULT="quiet ipv6.disable=1 acpi_backlight=vendor"
GRUB_CMDLINE_LINUX=""

surfrock66@sr66-hp2:~/.scripts$ cat /etc/sysctl.conf | grep -v "#"

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1
net.ipv6.conf.wlo0.disable_ipv6 = 1
surfrock66@sr66-hp2:~/.scripts$ 

Não há ipv6 nesses sistemas. Então, no que eu pensava ser uma nota não relacionada, meus dispositivos Android e chromecast tiveram problemas de Wi-Fi. A principal coisa que vejo é conexões excessivamente lentas que podem resultar em timeout e falha. Bem, eu estava fazendo alguma solução de problemas e executei um iperf ... o aplicativo iperf listou um endereço ipv6, bem como um ipv4. Com certeza, alguns mais longe ... cada dispositivo com problemas de lentidão tem um endereço ipv6 de algum lugar!

O aplicativo ipv6 disable resolve meus problemas de conexão, mas é revertido sempre que a conexão é interrompida e é refeita. A solução real aqui é eliminar o servidor DHCP desonesto ou configurar minha própria solução iph6 dhcp. Este último é meu plano final, mas por enquanto eu quero impedir que os dispositivos atuais obtenham um endereço IPv6.

O gateway tem todos os serviços DHCP desativados (ambos ipv4 e ipv6, que estão em telas diferentes). O servidor DHCP é um membro da LAN e aponta para o gateway como a rota padrão.

O gateway de classe empresarial comcast não é um AP Wifi; Eu tenho 3 APs da Netis com todas as funcionalidades de roteamento desativadas. Eles são dispositivos burros.

Consegui executar uma varredura de rede a partir de um dispositivo Android e encontrei uma lista de clientes com endereços IPv6 ... 3 deles têm endereços MAC que eu não reconheci e não consegui resolver usando uma pesquisa de MAC. Vou reativar o ipv6 em um dos meus laptops, mas tenho certeza de que, quando eu fizer isso, o dispositivo não terá uma conexão de rede imediatamente. Eu quero entrar nisso com um plano para descobrir como esses clientes estão recebendo seu endereço IPv6.

link

link

Não sei como saber qual é o servidor DHCP do Android; no ipv4 é 192.168.1.22. Eu posso identificar todos os endereços MAC como dispositivos que eu conheço, exceto 3:

  • 61: AD: F8: 15: 56: CC
  • 16: 0A: EB: A3: 10: A4
  • 61: dC: F8: 51: 15: 25

Nenhuma ideia de quais são esses 3; Fiz uma varredura ipv4 de toda a rede local e nenhum dispositivo ipv4 correspondente apareceu. Nenhuma pesquisa MAC me dá um resultado sobre quem pode ser o fabricante.

Meu servidor DHCP emite endereços com base no MAC; então eu conheço todo mac na LAN. Convidados (conhecidos como MAC desconhecido) obtêm um endereço 192.168.1.197-254, então eles seriam fáceis de identificar.

Eu reativei o ipv6 no meu laptop e, agora, meu adaptador wifi recebe um endereço ipv6:

surfrock66@sr66-hp2:~$ sudo ifconfig -a
eth0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 10:1f:74:1b:ec:cb  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 3581  bytes 464169 (453.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3581  bytes 464169 (453.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlo1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.46  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 2601:204:cd00:e200:1c5d:6970:a767:9c9e  prefixlen 64  scopeid 0x0<global>
        inet6 fe80::c1b6:f422:a87d:4f49  prefixlen 64  scopeid 0x20<link>
        ether 74:e5:0b:1d:62:90  txqueuelen 1000  (Ethernet)
        RX packets 4151  bytes 2333517 (2.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3531  bytes 651073 (635.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

surfrock66@sr66-hp2:/var/lib/dhcp$ for i in '\ls /var/lib/dhcp'; do echo $i; cat $i; done
dhclient.eth0.leases
lease {
  interface "eth0";
  fixed-address 192.168.1.227;
  filename "pxelinux.0";
  option subnet-mask 255.255.255.0;
  option time-offset -25200;
  option routers 192.168.1.1;
  option dhcp-lease-time 3600;
  option dhcp-message-type 5;
  option domain-name-servers 8.8.8.8,8.8.4.4;
  option dhcp-server-identifier 192.168.1.22;
  option domain-name "hda.surfrock66.com";
  renew 3 2016/06/01 04:01:58;
  rebind 3 2016/06/01 04:01:58;
  expire 3 2016/06/01 04:01:58;
}
dhclient.leases

surfrock66@sr66-hp2:/var/lib/dhcp$ sudo grep -R "DHCPOFFER" /var/log/*
/var/log/auth.log:Jul  9 14:32:23 sr66-hp2 sudo: surfrock66 : TTY=pts/1 ; PWD=/var/lib/dhcp ; USER=root ; COMMAND=/bin/grep -R DHCPOFFER /var/log/alternatives.log /var/log/alternatives.log.1 /var/log/alternatives.log.2.gz /var/log/apt /var/log/auth.log /var/log/auth.log.1 /var/log/auth.log.2.gz /var/log/auth.log.3.gz /var/log/auth.log.4.gz /var/log/btmp /var/log/btmp.1 /var/log/cups /var/log/daemon.log /var/log/daemon.log.1 /var/log/daemon.log.2.gz /var/log/daemon.log.3.gz /var/log/daemon.log.4.gz /var/log/debug /var/log/debug.1 /var/log/debug.2.gz /var/log/debug.3.gz /var/log/debug.4.gz /var/log/dmesg /var/log/dpkg.log /var/log/dpkg.log.1 /var/log/dpkg.log.2.gz /var/log/exim4 /var/log/faillog /var/log/firebird /var/log/fontconfig.log /var/log/fsck /var/log/hp /var/log/installer /var/log/kern.log /var/log/kern.log.1 /var/log/kern.log.2.gz /var/log/kern.log.3.gz /var/log/kern.log.4.gz /var/log/lastlog /var/log/lightdm /var/log/mail.err /var/log/mail.err.1 /var/log/mail.err.2.gz
/var/log/daemon.log:Jul  5 09:18:22 sr66-hp2 dhclient[6017]: DHCPOFFER of 192.168.110.50 from 192.168.108.2

Eu não tenho um contrato de DHCP para o ipv6, e a única oferta de DHCP era quando eu usava o Wi-Fi convidado em um hospital esta semana.

Eu não consigo mais resolver nada que não tenha uma entrada DNS armazenada em cache. Eu desabilitei o ipv6 no laptop para mais pesquisas sobre solução de problemas.

Onde devo começar?

    
por surfrock66 10.07.2016 / 06:03

0 respostas