Rogue DHCP Server Không thể tìm thấy


44

Trong 3-4 tuần qua, tôi đã cố gắng tìm một máy chủ DHCP giả mạo trên mạng của mình nhưng đã bị hỏng! Nó đang cung cấp Địa chỉ IP không hoạt động với mạng của tôi, vì vậy, bất kỳ thiết bị nào cần Địa chỉ động đều nhận được một địa chỉ từ Rogue DHCP và sau đó thiết bị đó sẽ ngừng hoạt động. Tôi cần giúp đỡ để tìm và phá hủy thứ này! Tôi nghĩ rằng nó có thể là một loại Trojan.

Bộ định tuyến chính của tôi là Máy chủ DHCP hợp lệ duy nhất và là 192.168.0.1, cung cấp phạm vi 192.160.0.150-199 và tôi có cấu hình này trong AD của mình là Ủy quyền. DHCP ROGUE này tuyên bố là đến từ 192.168.0.20 và cung cấp Địa chỉ IP trong phạm vi 10.255.255. * Đang làm rối MỌI THỨ trên mạng của tôi trừ khi tôi gán Địa chỉ IP tĩnh cho nó. 192.168.0.20 không tồn tại trên mạng của tôi.

Mạng của tôi là một Máy chủ AD duy nhất trên Windows 2008R2, 3 máy chủ vật lý khác (1-2008R2 và 2 2012R2) về 4 máy ảo Hypervisor, 3 máy tính xách tay và hộp Windows 7.

Tôi không thể ping IP 192.160.0.20 lừa đảo và tôi không thể thấy nó trong đầu ra ARP -A, vì vậy tôi không thể nhận được địa chỉ MAC của nó. Tôi hy vọng rằng ai đó đọc bài viết này đã đi qua điều này trước đây.


12
Tôi không giúp được gì về phía windows nhưng nếu tôi ở trên Linux, tôi chỉ đơn giản là chụp gói với tcpdump trên máy khách vì nó nhận được hợp đồng thuê dhcp tồi. Việc chụp gói phải có địa chỉ mac của hệ thống đã gửi đề nghị. Dấu vết đó.
yoonix

7
Bạn có thể rút tất cả mọi thứ và đưa mọi thứ trở lại mạng một lần không?
RS

1
1) Bạn có thể thấy MAC của máy chủ giả mạo (nếu trojan không thay đổi) và - nếu bạn không có danh sách từ MAC của khách hàng - thì bạn có thể grepcho nó vào trước đó (chưa sạch) Nhật ký DHCP. 2) Nếu không có gì khác hoạt động: cắm một nửa số máy từ mạng, kiểm tra xem anh ta có còn ở đây không. Vì vậy, bạn sẽ biết, trong đó một nửa là kẻ xấu. Sau đó, như vậy trong một nửa tìm thấy, và như vậy.
dùng259412

4
Bộ định tuyến nào? Nó có thể là bộ định tuyến bị nhiễm bệnh.
J ...

1
Bạn có loại công tắc nào? quản lý hay không quản lý? Nhãn hiệu? Mô hình? Tùy thuộc vào khả năng của công tắc, bạn có thể có thêm một số khả năng để giải quyết vấn đề.
Raffael Luthiger

Câu trả lời:


53

Trên một trong những máy khách Windows bị ảnh hưởng bắt đầu chụp gói (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, v.v.), sau đó từ một dấu nhắc lệnh nâng cao chạy ipconfig / phát hành . Máy khách DHCP sẽ gửi DHCPRELEASEtin nhắn đến máy chủ DHCP mà nó nhận được địa chỉ IP từ đó. Điều này sẽ cho phép bạn có được địa chỉ MAC của máy chủ DHCP giả mạo, sau đó bạn có thể theo dõi trong bảng địa chỉ MAC chuyển đổi của mình để tìm ra cổng chuyển đổi nào được kết nối, sau đó theo dõi cổng chuyển đổi đó sang giắc cắm mạng và thiết bị đã cắm vào nó


1
Làm cách nào tôi có thể xem địa chỉ MAC và bảng ARP của một công tắc không được quản lý?
Đại

25
@Dai Bước 0: Mua công tắc được quản lý. Tôi biết đó không phải lúc nào cũng là một lựa chọn nhưng thường thì mạng của bạn đủ lớn để khiến chúng có giá trị hoặc đủ nhỏ để nó không phải là một công việc khó khăn để đi bộ đến mọi máy và thẩm vấn nó.
Oli

1
@Dai Cái gì làm và mô hình là công tắc?
Hagen von Eitzen

19
Nếu bạn có một công tắc không được quản lý, địa chỉ mac vẫn cung cấp cho bạn một cái gì đó để làm việc - bạn có thể tra cứu nhà cung cấp để bạn có ý tưởng về thương hiệu phần cứng nào cần tìm, VÀ bạn có thể sử dụng một công cụ như arping để ping rouge trong khi bạn rút phích cắm các cổng chuyển đổi để tìm ra cổng nào được kết nối.
Michael Kohne

2
Những gì @Oli nói. Nếu bạn không, trong thời đại ngày nay, có cơ sở hạ tầng chuyển đổi hoàn toàn có thể quản lý, vấn đề của bạn không phải là bạn không thể tìm thấy một máy chủ DHCP lừa đảo. Đó là bạn không thể tìm thấy bất cứ điều gì .
MadHatter hỗ trợ Monica

37

Tìm thấy rồi!! Đó là Camera Mạng D-Link DCS-5030L của tôi! Tôi KHÔNG biết tại sao điều này xảy ra. Đây là cách tôi tìm thấy nó.

  1. Tôi đã thay đổi Địa chỉ IP máy tính xách tay của mình thành 10.255.255.150/255.255.255.0/10.255.255.1 và Máy chủ DNS 8.8.8.8 để nó có thể nằm trong phạm vi của dhcp lừa đảo.
  2. Sau đó tôi đã thực hiện một ipconfig / all để điền vào bảng ARP.
  3. Có một arp -a để lấy danh sách IP trong bảng và có Địa chỉ MAC cho 10.255.255.1, là cổng của Máy chủ DHCP giả mạo!
  4. Sau đó, tôi đã sử dụng Trình theo dõi mạng không dây từ Nirsoft.net để tôi có thể tìm thấy Địa chỉ IP THỰC của thiết bị từ Địa chỉ MAC mà tôi tìm thấy. IP thực tế của Rogue DHCP là 192.168.0.153, được Camera động chọn.
  5. Sau đó tôi đã đăng nhập vào trang web Camera và thấy rằng trước đó nó đã được đặt thành 192.168.0.20, đó là Địa chỉ IP của máy chủ DHCP rouge.
  6. Sau đó, tôi chuyển nó thành một IP tĩnh và giữ nó là 192.160.0.20.

Bây giờ tôi có thể tiếp tục cuộc sống của mình !! Cảm ơn mọi người đã ủng hộ.


25
Nếu máy ảnh mạng của bạn đang chạy máy chủ DHCP, tôi nghi ngờ nó đã bị xâm nhập bằng phần mềm độc hại. Không có máy ảnh sẽ chạy DHCP trên mục đích. Tôi đã tra cứu nó trên tài liệu D-Link và nó có khả năng chạy máy chủ nhưng tôi rất ngạc nhiên nếu nó được cấu hình theo cách đó. Kiểm tra phần mềm độc hại, nhiều máy ảnh đã bị tấn công theo cách đó.
Zan Lynx

3
Tại sao trên thế giới máy ảnh mạng sẽ có máy chủ DHCP ???
RonJohn

14
@RonJohn để bạn có thể truy cập trang web cấu hình của nó trên một mạng độc lập không có máy chủ DHCP của riêng mình. Tôi đồng ý rằng thật ngu ngốc khi một thiết bị như vậy có máy chủ DHCP, nhưng đó là lý do họ làm điều đó.
Moshe Katz

7
@ZanLynx Không có máy ảnh nào chạy DHCP trên mục đích ... bạn đã gặp rất nhiều nhà quản lý kỹ thuật phần mềm có bạn;)
txtechhelp


18

Thực hiện tìm kiếm nhị phân.

  1. Ngắt kết nối một nửa dây cáp
  2. Sử dụng thử nghiệm '/ ipconfig release' nếu nó vẫn ở đó
  3. Nếu vậy, ngắt kết nối một nửa còn lại và goto 2
  4. Nếu không, hãy kết nối lại một nửa của nửa đầu đã ngắt kết nối trước đó, ngắt kết nối nửa thứ hai và goto 2

Điều này sẽ chia mạng thành hai lần thử nghiệm liên tiếp, vì vậy nếu bạn có 1.000 máy, bạn có thể mất tới 10 thử nghiệm để tìm cổng riêng mà máy chủ DHCP đang chạy.

Bạn sẽ dành nhiều thời gian để cắm và rút các thiết bị, nhưng nó sẽ thu hẹp nó xuống máy chủ dhcp mà không có nhiều công cụ và kỹ thuật bổ sung, vì vậy nó sẽ hoạt động trong mọi môi trường.


3
Một cách tốt hơn để thực hiện chuyển đổi không được quản lý rút phích cắm tìm kiếm. +1
Todd Wilcox

Tôi sẽ tự mình đi theo công tắc chứ không phải máy móc. Điều đó sẽ thu hẹp nó thành một chuyển đổi khá dễ dàng.
Loren Pechtel

@LorenPechtel có, nếu bạn có nhiều thiết bị chuyển mạch thì thuật toán nhị phân có thể chỉ yêu cầu ngắt kết nối một hoặc hai cáp để ngắt kết nối một nửa mạng.
Adam Davis

17

Bạn chỉ có thể:

  • Mở mạng và trung tâm chia sẻ (bắt đầu hoặc nhấp chuột phải vào biểu tượng khay mạng), nhấp vào liên kết kết nối màu xanh -> chi tiết.
  • tìm địa chỉ ipv4 dhcp (trong ví dụ này là 10.10.10.10)
  • Mở Command Prompt từ menu bắt đầu.
  • ping ip đó ping 10.10.10.10, ví dụ , điều này buộc máy tính tra cứu địa chỉ MAC của máy chủ dhcp và thêm nó vào bảng ARP, lưu ý rằng ping có thể bị lỗi nếu có tường lửa chặn nó, điều này ổn và sẽ không gây ra sự cố.
  • làm arp -a| findstr 10.10.10.10. Điều này truy vấn bảng arp cho địa chỉ MAC.

Bạn sẽ thấy một cái gì đó như:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Mục ở giữa là địa chỉ MAC.

Sau đó tra cứu nó trong bảng MAC / Port theo câu trả lời của joeqwerty, gửi lại nếu bạn cần hỗ trợ về điều đó.

Không cần phải cài đặt wireshark.


4
OP cho biết anh ta không thể ping địa chỉ IP của máy chủ DHCP và không thể tìm thấy địa chỉ MAC trong bảng ARP của mình, đó là lý do tại sao tôi đăng câu trả lời của mình. Anh ta có thể có hoặc không có bất kỳ thành công nào với đề xuất của bạn, nhưng của bạn là một cách tiếp cận đơn giản hơn, đơn giản hơn.
joeqwerty
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.