Nhật ký DHCPD hiển thị địa chỉ IP yêu cầu của PC từ bộ định tuyến khi chúng bị tắt. Là tệp nhật ký của chúng tôi không chính xác?

7

Chúng tôi có một văn phòng nhỏ và khi kiểm tra nhật ký bộ định tuyến tôi nhận thấy rằng một số máy tính đã yêu cầu địa chỉ IP từ bộ định tuyến văn phòng ngoài giờ làm việc.

Đây là đầu ra tệp nhật ký:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Các nhân viên tắt máy tính của họ khi hoàn thành công việc. Tôi đã xác nhận rằng tất cả trừ hai trong số các địa chỉ MAC đã đăng nhập thuộc về máy tính trong văn phòng của chúng tôi.

Gần đây chúng tôi đã có một vi phạm an ninh. Chúng tôi đặt lại bộ định tuyến, tất cả mật khẩu quản trị viên và mật khẩu WiFi.

Có thể các máy tính này có thể tự bật ngoài giờ làm việc và khiến mọi người có thể truy cập được ngoài mạng của chúng tôi không?

networking  security  dhcp  logfiles 
bloopiebloopie
nguồn

Câu trả lời:

7

Hỏi câu hỏi đầu tiên:

Có phải những máy tính này có thể tự biến mình không?

Có, máy tính có thể tự bật và đã có khả năng này từ lâu. Đối với các PC tương thích của IBM, điều này là bình thường vì họ có ATX PSU. (Khoảng từ năm 1995). Nếu bạn đi đến phần sụn bo mạch chủ (còn gọi là BIOS hoặc UEFI), bạn thường có một tùy chọn cấu hình cái này. Khá hữu ích nếu bạn có một PC cũ và muốn nó khởi động và khởi động trước khi bạn đến văn phòng.

Phần thứ hai của câu hỏi của bạn

Càng và làm cho bản thân họ có thể truy cập được ngoài mạng của chúng tôi?

là độc lập từ phần đầu tiên. Nếu điều đó xảy ra khi máy tính bật nguồn (bất kể chúng tự bật hay do bạn nhấn nút nguồn) thì bạn có vấn đề. Nếu đó là trường hợp thì vi phạm an ninh chưa được khắc phục.

Cuối cùng, nếu bạn có địa chỉ MAC thì bạn có thể tìm đến ba byte đầu tiên. Họ sẽ cho bạn biết nhà sản xuất nào đã tạo ra card mạng đang yêu cầu IP. Điều này có thể giúp xác định nguồn (ví dụ: chỉ yêu cầu DHCP từ máy in hoặc từ điện thoại di động (cá nhân?)

Tôi đã tra cứu các địa chỉ trong bài viết của bạn:

Địa chỉ MAC bắt đầu bằng F8:0F:41hoặc 98:EE:CBthuộc về Wistron InfoComm . Theo Wikipedia, công ty này sản xuất máy tính bảng, điện thoại di động và các thiết bị khác chạy Chrome OS .

Địa chỉ MAC bắt đầu 64:EB:8Cthuộc về Seiko Epson Corporation. Đó có thể là máy in (một lần nữa, máy in có thể có dải IP riêng trong văn phòng, mặc dù có thể có MAC → IP dành riêng trên máy chủ DHCP).

Địa chỉ MAC bắt đầu 4C:A1:61thuộc về Rain Bird Corporation. Mỗi tìm kiếm tôi đã thực hiện trên tên đó dẫn đến một công ty phun nước.

Cuối cùng:

Là logfiles của chúng tôi không chính xác?

Tôi nghi ngờ điều đó. Đôi khi dường như đang yêu cầu thông tin IP. Điều này đang được đăng nhập. Không có lỗi trong việc đăng nhập. Vấn đề lớn hơn là tại sao họ làm việc đó ngoài giờ hành chính? Có một hệ thống phun nước cỏ được cung cấp năng lượng cả ngày (và có lẽ được cho là hoạt động 24/7)? Có máy in nào không tắt mà thay vào đó là chế độ ngủ? Có máy tính xách tay hoặc PC không được tắt đúng cách mà thay vào đó là chế độ năng lượng thấp (ngủ?), Phát hiện pin yếu và bật nguồn để chuyển sang chế độ ngủ sâu?

Về cơ bản, tìm ra thiết bị nào (nên dễ dàng, bạn có MAC và IP, vì vậy bạn có thể sử dụng tài liệu để tra cứu PC đó là gì, hoặc sử dụng bộ định tuyến để tìm ra thiết bị nào). Sau đó nghiên cứu thêm từ các thiết bị cuối cùng. (Trong trường hợp máy tính windows thử powercfg lastwake).

Hennes
nguồn
Ngoại trừ việc gần đây tôi đã biết rằng địa chỉ MAC có thể được thay đổi. Comcast làm điều này thường xuyên trên bộ định tuyến / modem của họ.
DocSalvager
Địa chỉ MAC thường được tích hợp vào ROM NIC. Nhiều NIC sao chép từ không gian này vào không gian làm việc của họ, cho phép bạn thay đổi điều đó. Nhưng nếu nó được thay đổi thì nó trở thành công việc của người thay đổi nó để đảm bảo 100% rằng nó là duy nhất trên mạng LAN. Điều bạn chỉ có thể làm nếu bạn điều khiển tất cả các thiết bị [tiềm năng] trên mạng LAN đó. Vì điều này không có lợi thế và chỉ tạo ra các vấn đề tiềm ẩn, không có lý do chính đáng nào để thay đổi MAC.
Hennes
Có lẽ tôi nên mở rộng "không có lý do chính đáng". Có hai trường hợp ngoại lệ: các cuộc tấn công ngộ độc ARP (với tư cách là kẻ tấn công) và vài thập kỷ trước, các modem cáp ISP chỉ hỗ trợ một PC duy nhất cho mỗi modem cáp. Điều đó đã được thực hiện bằng cách chỉ cho phép truy cập từ một MAC duy nhất. Như fgar như tôi biết điều này đã không được sử dụng trong những thập kỷ qua, vì vậy bất kỳ cách giải quyết nào có lẽ là từ các hướng dẫn lỗi thời. Đối với comcast, họ đang thay đổi MAC hoặc thiết bị của họ (bao gồm cả MAC). Cái sau có vẻ nhiều khả năng hơn, và có thể là do một số cân bằng tải.
Hennes
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.