Rogue DHCP Sunucusu bulunamadı

44

Son 3-4 hafta boyunca, ağımda sahte bir DHCP sunucusu bulmaya çalıştım ancak güdük oldu! Ağımla çalışmayan IP Adresleri sunuyor, bu nedenle Dinamik Adres gerektiren herhangi bir aygıt Rogue DHCP'den bir tane alıyor ve ardından aygıt çalışmıyor. Bu şeyi bulmak ve yok etmek için yardıma ihtiyacım var! Bir tür Truva atı olabileceğini düşünüyorum.

Ana Yönlendiricim tek geçerli DHCP Sunucusudur ve 192.160.0.150-199 aralığı sunan 192.168.0.1'dir ve bunu AD'mde Yetkili olarak yapılandırdım. Bu ROGUE DHCP, 192.168.0.20'den geldiğini ve 10.255.255. * Aralığında bir IP Adresi sunduğunu ve buna statik bir IP Adresi atamadığım sürece ağımda her şeyi karıştırdığını iddia ediyor. 192.168.0.20 ağımda yok.

Ağım, Windows 2008R2 üzerinde tek bir AD Sunucusu, 3 diğer fiziksel sunucu (1-2008R2 ve 2 2012R2) hakkında 4 Hypervisor VM'si, 3 dizüstü bilgisayar ve bir Windows 7 kutusu.

192.160.0.20 IP haydutuna ping atamıyorum ve ARP-A çıkışında göremiyorum, bu yüzden MAC adresini alamıyorum. Bu yazıyı okuyan birisinin daha önce bununla karşılaştığını umuyorum.

networking  dhcp-server 
Dave Stuart
kaynak
12
Windows tarafında yardımcı olamıyorum ama eğer Linux'ta olsaydım, kötü bir dhcp kirası elde ederken bir müşteride tcpdump ile paket çekerdim. Paket yakalama, teklifi gönderen sistemin mac adresine sahip olmalıdır. İzini sür.
yoonix
7
Herşeyi fişten çekip, ağa birer birer koyabilir misiniz?
RS
1
1) Büyük olasılıkla hileli sunucunun MAC’ini görebilirsiniz (eğer trojan değiştirmediyse) ve - müşterilerinizin MAC’lerinden bir listeniz yoksa - grepbunun için daha önce de yapabilirsiniz . temiz) DHCP kayıtları. 2) Başka hiçbir şey çalışmazsa: makinelerin yarısını ağdan çıkarın, hala burada olup olmadığını kontrol edin. Yani bileceksiniz ki, hangi yarıda kötü adam. Sonra da aynı yarı bulundu, ve benzeri.
kullanıcı259412
4
Hangi yönlendirici? Yönlendiricinin kendisine virüs bulaşmış olabilir.
J ...
1
Ne tür bir anahtarınız var? yönetilen veya yönetilmeyen? Marka? Model? Anahtarın özelliklerine bağlı olarak, sorunun nasıl çözüleceği konusunda daha fazla imkanınız olabilir.
Raffael Luthiger

Yanıtlar:

53

Etkilenen Windows istemcilerinden birinde bir paket yakalamaya başlar (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, vb.), Daha sonra yükseltilmiş bir komut isteminden ipconfig / release komutunu çalıştırın . DHCP istemcisi DHCPRELEASE, DHCP sunucusuna ip adresini aldığı bilgisini gönderir . Bu, hangi DHCP sunucusunun MAC adresini almanıza izin verir, bu durumda hangi MAC portuna bağlı olduğunu bulmak için MAC MAC adres tablonuzda izleyebilir, ardından bu portu ağ jakına ve cihaza takılı cihaza bunun içine.

joeqwerty
kaynak
1
Yönetilmeyen bir anahtarın MAC adresini ve ARP tablolarını nasıl görebilirim?
Dai,
25
@Dai Adım 0: Yönetilen anahtarları satın al. Bunun her zaman bir seçenek olmadığını biliyorum, ancak genellikle ağınız onlara değer verecek kadar büyük ya da her makineye dolaşmak ve onu sorgulamak zor bir iş olmayacak kadar küçük.
Oli
1
@Dai Anahtar ne yapar ve modeldir?
Hagen von Eitzen
19
Eğer bakabilirsiniz - Bir yönetilmeyen anahtarınız varsa mac adresi hala size çalışmak için bir şey verir satıcıyı sen aramaya donanım ne marka bir fikir var, bu yüzden VE gibi bir araç kullanabilirsiniz Arping allık süre ping hangi bağlantı noktasına bağlı olduğunu bulmak için anahtar bağlantı noktalarını
Michael Kohne
2
@Oli ne dedi. Bu gün ve yaşta tamamen yönetilebilir bir anahtar altyapısına sahip değilseniz, sizin sorununuz sahte bir DHCP sunucusu bulamıyor olmanız değildir. Hiçbir şey bulamıyorsun .
MadHatter
37

Buldum !! Benim DCS-5030L D-Link Ağ Kameramdı! Bunun neden olduğu hakkında hiçbir fikrim yok. İşte bu şekilde buldum.

  1. Dizüstü bilgisayar IP Adresimi 10.255.255.150/255.255.255.0/10.255.255.1 olarak ve DNS Sunucusu 8.8.8.8 olarak değiştirdim, böylece dhcp'nin işini bitirdiği alanda olacaktı.
  2. Daha sonra ARP tablosunu doldurmak için bir ipconfig / all yaptım.
  3. Bir arp -a tabloda IP'lerin bir listesini almak için yaptı ve haydut DHCP Sunucusunun ağ geçidi olan 10.255.255.1 MAC adresi vardı!
  4. Daha sonra, Wireless Network Watcher'ı Nirsoft.net'ten kullandım, böylece cihazın GERÇEK IP Adresini bulduğum MAC Adresinden bulabildim. Rogue DHCP'nin gerçek IP'si Kamera tarafından dinamik olarak toplanan 192.168.0.153'tür.
  5. Daha sonra Kamera web sayfasına giriş yaptım ve daha önce 192 DHCP Sunucusunun IP Adresi olan 192.168.0.20 olarak ayarlandığını gördüm.
  6. Sonra statik IP'ye geçirdim ve 192.160.0.20 olarak tuttum.

Şimdi hayatımı devam ettirebilirim !! Desteğiniz için herkese teşekkürler.

Dave Stuart
kaynak
25
Ağ kameranız bir DHCP sunucusu kullanıyorsa, kötü amaçlı yazılımdan ödün verilmiş olduğundan şüpheleniyorum. Hiçbir kamera DHCP'yi bilerek çalıştırmaz. D-Link belgelerine baktım ve bir sunucuyu çalıştırmak için bu yeteneğe sahipti, ancak bilerek yapılandırılmış olsaydı çok şaşırırdım. Kötü amaçlı yazılım olup olmadığını kontrol edin, birçok kamera bu şekilde ele geçirildi.
Zan Lynx
3
Neden dünyada bir ağ kamerasının bir DHCP sunucusu olsun?
RonJohn,
14
@RonJohn böylece kendi DHCP sunucusuna sahip olmayan bağımsız bir ağ üzerinden konfigürasyon web sayfasına erişebilirsiniz. Bunun gibi bir cihazın DHCP sunucusuna sahip olmasının aptalca olduğunu kabul ediyorum, ancak bunu yapmasının nedeni de bu.
Moshe Katz
7
@ZanLynx Hiçbir kamera DHCP'yi bilerek çalıştırmazdı ... birçok yazılım mühendisliği yöneticisine sahip değilsiniz;)
txtechhelp
3
Patrick M,
18

İkili arama yapın.

  1. Kabloların yarısını ayırın
  2. Hala varsa, '/ ipconfig release' testini kullanma
  3. Öyleyse, kalanın diğer yarısını ayırın ve 2
  4. Değilse, daha önce bağlantısı kesilen ilk yarımın yarısını tekrar bağlayın, ikinci yarının bağlantısını kesin ve 2

Bu, ağı ardışık her iki teste böler; bu nedenle, 1000 makineniz varsa, DHCP sunucusunun çalıştığı bağlantı noktasını bulmak için 10 teste kadar sürebilirsiniz.

Aygıtları takıp çıkarmak için çok zaman harcayacaksınız, ancak çok fazla ek araç ve teknik olmadan dhcp sunucusuna daralması nedeniyle herhangi bir ortamda çalışacak.

Adam Davis
kaynak
3
Yönetilmeyen anahtarı yapmanın daha iyi bir yolu, aramanın bağlantısını kesmektir. +1
Todd Wilcox
Makinelerin yerine anahtarların peşinden giderdim. Bu onu kolayca tek bir anahtara daraltacaktır.
Loren Pechtel
@LorenPechtel evet, birden fazla anahtarınız varsa, o zaman ikili algoritma ağın yarısını kesmek için yalnızca bir veya iki kabloyu çıkarmanız gerekebilir.
Adam Davis
17

Sadece yapabilirsin:

  • Ağ ve paylaşım merkezini açın (başlangıçtan itibaren veya ağ tepsisi simgesine sağ tıklayın), mavi bağlantı bağlantısını tıklayın -> Ayrıntılar.
  • ipv4 dhcp adresini bulun (bu örnekte, 10.10.10.10)
  • Başlat menüsünden Komut İstemi'ni açın.
  • Bu ip, örneğin ping 10.10.10.10, bu, bilgisayarı dhcp sunucusunun MAC adresini aramaya zorlar ve ARP tablosuna ekler, onu engelleyen bir güvenlik duvarı varsa, ping'in başarısız olabileceğini unutmayın, bu sorun değil ve sorunlara neden olmaz.
  • do arp -a| findstr 10.10.10.10. Bu, MAC adresi için arp tablosunu sorgular.

Gibi bir şey göreceksiniz:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Ortadaki giriş MAC adresidir.

Sonra joeqwerty'nin cevabına göre şalter MAC / Port tablosuna bakın, yardıma ihtiyacınız olursa tekrar gönderin.

Wireshark yüklemeye gerek yok.

Aaron Tate
kaynak
4
OP, DHCP sunucusunun ip adresini pingleyemediğini ve ARP tablosunda MAC adresini bulamadığını ve bu yüzden cevabımı gönderdiğimi söyledi. Önerinizle ilgili herhangi bir başarısı olabilir veya olmayabilir, ancak sizinki daha basit, daha basit bir yaklaşımdır.
joeqwerty
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.