Rogue DHCP-сервер не может быть найден

44

За последние 3-4 недели я пытался найти мошеннический DHCP-сервер в моей сети, но был в тупике! Он предлагает IP-адреса, которые не работают с моей сетью, поэтому любое устройство, которому требуется динамический адрес, получает его от Rogue DHCP, а затем это устройство перестает работать. Мне нужна помощь, чтобы найти и уничтожить эту вещь! Я думаю, что это может быть какой-то троян.

Мой основной маршрутизатор является единственным действующим сервером DHCP и имеет 192.168.0.1, который предлагает диапазон 192.160.0.150-199, и я настроил его в моей AD как авторизованный. Этот ROGUE DHCP утверждает, что он пришел с 192.168.0.20 и предлагает IP-адрес в диапазоне 10.255.255. *, Который портит ВСЕ в моей сети, если я не назначу ему статический IP-адрес. 192.168.0.20 не существует в моей сети.

Моя сеть - это один сервер AD на Windows 2008R2, 3 других физических сервера (1-2008R2 и 2 2012R2), около 4 виртуальных машин Hypervisor, 3 ноутбука и Windows 7.

Я не могу пропинговать IP-адрес мошенника 192.160.0.20 и не вижу его на выходе ARP -A, поэтому не могу получить его MAC-адрес. Я надеюсь, что кто-то, читающий этот пост, сталкивался с этим раньше.

Дейв Стюарт
источник
12
Я не помогаю на стороне Windows, но если бы я был в Linux, я бы просто взял перехват пакета с tcpdump на клиенте, поскольку он получил плохую аренду dhcp. Захват пакета должен иметь mac-адрес системы, отправившей предложение. Проследи это.
yoonix
7
Можете ли вы отключить все и положить вещи в сеть по одному?
RS
1
1) Скорее всего, вы можете видеть MAC-адрес мошеннического сервера (если троян не изменил его), и - если у вас нет списка из MAC-адресов ваших клиентов - тогда вы можете узнать grepего ранее (пока). чисто) DHCP логи. 2) Если ничего другого не работает: отключите половину машин из сети, проверьте, все ли еще он здесь. Таким образом, вы будете знать, в какой половине это плохой парень. Потом так же в найденной половине и так далее.
Петер говорит восстановить Монику
4
Какой роутер? Возможно, сам маршрутизатор заражен.
J ...
1
Какой тип переключателя у вас есть? управляемый или неуправляемый? Марка? Модель? В зависимости от возможностей коммутатора у вас может быть больше возможностей для решения проблемы.
Рафаэль Лютигер

Ответы:

53

На одном из уязвимых клиентов Windows запустите захват пакетов (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer и т. Д.), Затем из командной строки с повышенными привилегиями запустите ipconfig / release . DHCP-клиент отправит DHCPRELEASEсообщение DHCP-серверу, с которого он получил свой IP-адрес. Это должно позволить вам получить MAC-адрес мошеннического DHCP-сервера, который затем можно отследить в таблице MAC-адресов коммутатора, чтобы выяснить, к какому порту коммутатора он подключен, а затем отследить этот порт коммутатора до сетевого разъема и подключенного устройства. внутрь.

joeqwerty
источник
1
Как я могу просмотреть таблицы MAC-адресов и ARP неуправляемого коммутатора?
Дай
25
@Dai Шаг 0: купить управляемые коммутаторы. Я знаю, что это не всегда вариант, но обычно ваша сеть либо достаточно велика, чтобы их стоило того, либо достаточно мала, чтобы не было тяжелой работы, чтобы обойти каждую машину и опросить ее.
Оли
1
@Dai Какие марки и модели это переключатель?
Хаген фон
19
Если у вас есть неуправляемый коммутатор, MAC-адрес по-прежнему дает вам возможность поработать - вы можете найти поставщика, чтобы у вас было представление о том, какую марку оборудования искать, и вы можете использовать такой инструмент, как arping, чтобы пинговать руж, пока Вы отключаете порты коммутатора, чтобы определить, к какому порту он подключен.
Майкл Кохне
2
Что сказал @ Оли. Если в наше время у вас нет полностью управляемой инфраструктуры коммутаторов, ваша проблема не в том, что вы не можете найти мошеннический DHCP-сервер. Это , что вы не можете найти что - нибудь .
MadHatter поддерживает Монику
37

Нашел это !! Это была моя сетевая камера DCS-5030L D-Link! Я понятия не имею, почему это произошло. Вот как я это нашел.

  1. Я изменил IP-адрес своего ноутбука на 10.255.255.150/255.255.255.0/10.255.255.1 и DNS-сервер 8.8.8.8, чтобы он находился в диапазоне от того, что выдавал мошеннический dhcp.
  2. Затем я сделал ipconfig / all для заполнения таблицы ARP.
  3. Сделал arp -a, чтобы получить список IP-адресов в таблице, и был MAC-адрес для 10.255.255.1, который является шлюзом мошеннического DHCP-сервера!
  4. Затем я использовал Wireless Network Watcher от Nirsoft.net, чтобы найти НАСТОЯЩИЙ IP-адрес устройства по найденному MAC-адресу. Фактический IP-адрес Rogue DHCP был 192.168.0.153, который был динамически обнаружен камерой.
  5. Затем я вошел на веб-страницу камеры и увидел, что ранее ей было присвоено значение 192.168.0.20, которое было IP-адресом DHCP-сервера румян.
  6. Затем я переключил его на статический IP и сохранил его как 192.160.0.20.

Теперь я могу жить своей жизнью !! Спасибо всем за поддержку.

Дейв Стюарт
источник
25
Если ваша сетевая камера работала с сервером DHCP, я подозреваю, что он был скомпрометирован вредоносным ПО. Ни одна камера не будет запускать DHCP специально. Я посмотрел его в документации D-Link, и у него есть такая возможность запустить сервер, но я был бы очень удивлен, если бы он был настроен таким образом специально. Проверьте его на наличие вредоносных программ, многие камеры были взломаны таким образом.
Zan Lynx
3
Почему в мире сетевая камера имеет DHCP-сервер ???
RonJohn
14
@RonJohn, чтобы вы могли получить доступ к его веб-странице конфигурации в автономной сети, которая не имеет собственного DHCP-сервера. Я согласен, что для такого устройства глупо иметь DHCP-сервер, но по этой причине они это делают.
Моше Кац
7
@ZanLynx Ни одна камера не будет запускать DHCP специально ... вы не встречали многих менеджеров по разработке программного обеспечения, не так ли;)
txtechhelp
18

Сделайте бинарный поиск.

  1. Отсоединить половину кабелей
  2. Использование теста '/ ipconfig release', если он все еще там
  3. Если это так, отключите другую половину от оставшегося и перейдите к 2
  4. Если нет, повторно подключите половину ранее отсоединенной первой половины, отсоедините вторую половину и перейдите к 2.

Это разделит сеть на два последовательных теста, поэтому если у вас 1000 машин, вам может потребоваться до 10 тестов, чтобы найти отдельный порт, на котором работает DHCP-сервер.

Вы потратите много времени на подключение и отключение устройств, но это сузит его до сервера dhcp без большого количества дополнительных инструментов и методов, поэтому он будет работать в любой среде.

Адам Дэвис
источник
3
Лучший способ сделать неуправляемый переключатель отключить поиск. +1
Тодд Уилкокс
Я бы пошел за самими переключателями, а не за машинами. Это сузит его до одного переключателя довольно легко.
Лорен Печтел
@LorenPechtel Да, если у вас есть несколько коммутаторов, двоичный алгоритм может потребовать отсоединения только одного или двух кабелей для отключения половины сети.
Адам Дэвис
17

Вы могли бы просто:

  • Откройте центр управления сетями и общим доступом (с самого начала или щелкните правой кнопкой мыши значок сетевого лотка), щелкните синюю ссылку подключения -> подробности.
  • найти адрес ipv4 dhcp (в данном примере это 10.10.10.10)
  • Откройте командную строку из меню «Пуск».
  • ping that ip Например ping 10.10.10.10, это заставляет компьютер искать MAC-адрес dhcp-сервера и добавлять его в таблицу ARP, помнить, что ping может произойти сбой, если его блокирует брандмауэр, это нормально и не вызовет проблем.
  • делать arp -a| findstr 10.10.10.10. Это запрашивает таблицу arp для MAC-адреса.

Вы увидите что-то вроде:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Средняя запись - это MAC-адрес.

Затем найдите его в таблице MAC / Port коммутаторов в соответствии с ответом joeqwerty, напишите, если вам нужна помощь в этом.

Не нужно устанавливать Wireshark.

Аарон Тейт
источник
4
ОП сказал, что он не смог пропинговать IP-адрес DHCP-сервера и не смог найти MAC-адрес в своей таблице ARP, поэтому я опубликовал свой ответ. Он может иметь или не иметь успеха с вашим предложением, но ваш - намного более простой, более простой подход.
Joeqwerty