Servidor DHCP não autorizado

44

Nas últimas 3-4 semanas, tenho tentado encontrar um servidor DHCP não autorizado na minha rede, mas fiquei perplexo! Ele está oferecendo endereços IP que não funcionam com minha rede; portanto, qualquer dispositivo que precise de um endereço dinâmico está obtendo um do DHCP não autorizado e, em seguida, esse dispositivo para de funcionar. Preciso de ajuda para encontrar e destruir essa coisa! Eu acho que pode ser um Trojan de algum tipo.

Meu roteador principal é o único servidor DHCP válido e é 192.168.0.1, que oferece um intervalo de 192.160.0.150-199, e eu tenho isso configurado no AD como autorizado. Este DHCP ROGUE afirma ser proveniente de 192.168.0.20 e oferecer um endereço IP no intervalo de 10.255.255. * Que está atrapalhando TUDO na minha rede, a menos que eu atribua um endereço IP estático a ele. 192.168.0.20 não existe na minha rede.

Minha rede é um único servidor AD no Windows 2008R2, outros 3 servidores físicos (1-2008R2 e 2 2012R2), sobre 4 VMs do Hypervisor, 3 laptops e uma caixa do Windows 7.

Não consigo executar ping no IP 192.160.0.20 não autorizado e não consigo vê-lo na saída ARP -A, portanto não consigo obter o endereço MAC. Espero que alguém que esteja lendo este post tenha se deparado com isso antes.

Dave Stuart
fonte
12
Eu não sou de ajuda do lado do Windows, mas se eu estivesse no Linux, simplesmente faria uma captura de pacote com o tcpdump em um cliente, pois ele obteve uma concessão dhcp ruim. A captura de pacotes deve ter o endereço mac do sistema que enviou a oferta. Trace isso.
Yoonix
7
Você pode desconectar tudo e colocar as coisas de volta na rede, uma de cada vez?
RS
1
1) Você provavelmente pode ver o MAC do servidor não autorizado (se o cavalo de Troia não o tiver alterado) e - se você não tiver uma lista dos MACs de seus clientes - poderá grepobtê-lo no seu servidor anterior (ainda limpo) logs DHCP. 2) Se nada mais funcionar: desconecte metade das máquinas da rede, verifique se ele ainda está aqui. Então você saberá, em que metade é o bandido. Então, o mesmo na metade encontrada, e assim por diante.
peterh diz restabelecer Monica 15/08/17
4
Qual roteador? Pode ser que o próprio roteador esteja infectado.
J ...
1
Que tipo de switch você tem? gerenciado ou não gerenciado? Marca? Modelo? Dependendo dos recursos do switch, você poderá ter mais possibilidades de como resolver o problema.
Raffael Luthiger

Respostas:

53

Em um dos clientes Windows afetados, inicie uma captura de pacote (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, etc.) e, em um prompt de comando elevado, execute ipconfig / release . O cliente DHCP enviará uma DHCPRELEASEmensagem ao servidor DHCP de onde obteve o endereço IP. Isso deve permitir que você obtenha o endereço MAC do servidor DHCP não autorizado, que você pode rastrear na tabela de endereços MAC do switch para descobrir a qual porta do switch ele está conectado e, em seguida, rastrear essa porta do switch na tomada de rede e no dispositivo conectado. afim disso.

joeqwerty
fonte
1
Como posso exibir o endereço MAC e as tabelas ARP de um switch não gerenciado?
Dai15
25
@Dai Etapa 0: Compre switches gerenciados. Sei que nem sempre é uma opção, mas geralmente sua rede é grande o suficiente para fazer com que valha a pena ou pequena o suficiente para que não seria um trabalho difícil caminhar até cada máquina e interrogá-la.
Oli
1
@Dai Que marca e modelo é o switch?
Hagen von Eitzen
19
Se você possui um switch não gerenciado, o endereço mac ainda oferece algo para trabalhar - você pode procurar o fornecedor para ter uma idéia de qual tipo de hardware procurar e pode usar uma ferramenta como arping para executar ping no rouge enquanto você desconecta as portas do switch para descobrir a qual porta está conectada.
precisa saber é o seguinte
2
O que @Oli disse. Se hoje em dia você não possui uma infraestrutura de switch totalmente gerenciável, o problema não é que você não consegue encontrar um servidor DHCP não autorizado. É que você não consegue encontrar nada .
MadHatter apoia Monica
37

Encontrei!! Era minha câmera de rede D-Link DCS-5030L! Não tenho idéia do por que isso aconteceu. Foi assim que eu achei.

  1. Mudei o endereço IP do meu laptop para 10.255.255.150/255.255.255.0/10.255.255.1 e o servidor DNS 8.8.8.8 para que ele estivesse no intervalo do que o rogue dhcp estava fornecendo.
  2. Eu fiz um ipconfig / all para preencher a tabela ARP.
  3. Fiz um arp -a para obter uma lista dos IPs na tabela e havia o endereço MAC para 10.255.255.1, que é o gateway do servidor DHCP não autorizado!
  4. Em seguida, usei o Wireless Network Watcher do Nirsoft.net para encontrar o endereço IP REAL do dispositivo no endereço MAC que encontrei. O IP real do DHCP não autorizado era 192.168.0.153, captado dinamicamente pela câmera.
  5. Então, entrei na página da Web da câmera e vi que ela estava definida como 192.168.0.20, que era o endereço IP do servidor DHCP do rouge.
  6. Então eu mudei para um IP estático e o mantive como 192.160.0.20.

Agora eu posso continuar com minha vida !! Obrigado a todos pelo apoio.

Dave Stuart
fonte
25
Se sua câmera de rede estava executando um servidor DHCP, suspeito que ela tenha sido comprometida com malware. Nenhuma câmera executaria o DHCP de propósito. Eu procurei na documentação da D-Link e ela tem a capacidade de executar um servidor, mas ficaria muito surpreso se ele fosse configurado dessa maneira de propósito. Verifique se há malware, muitas câmeras foram invadidas dessa maneira.
Zan Lynx
3
Por que no mundo uma câmera de rede teria um servidor DHCP ???
RonJohn
14
@ RonJohn para que você possa acessar sua página da Web de configuração em uma rede autônoma que não possui um servidor DHCP próprio. Concordo que é estúpido para um dispositivo como esse ter um servidor DHCP, mas é por isso que eles fazem isso.
Moshe Katz
7
@ZanLynx Nenhuma câmera correria DHCP de propósito ... você ainda não conheci um monte de gerentes de engenharia de software têm de você;)
txtechhelp
18

Faça uma pesquisa binária.

  1. Desconecte metade dos cabos
  2. Usando o teste '/ ipconfig release' se ele ainda estiver lá
  3. Nesse caso, desconecte outra metade do restante e vá para 2
  4. Caso contrário, reconecte a metade da primeira metade desconectada anteriormente, desconecte a segunda metade e vá para 2

Isso dividirá a rede em duas a cada teste sucessivo; portanto, se você tiver 1.000 máquinas, poderá levar até 10 testes para encontrar a porta individual na qual o servidor DHCP está sendo executado.

Você gastará muito tempo conectando e desconectando dispositivos, mas ele o reduzirá ao servidor dhcp sem muitas ferramentas e técnicas adicionais, para que funcione em qualquer ambiente.

Adam Davis
fonte
3
A melhor maneira de fazer a troca não gerenciada é desconectar a pesquisa. 1
Todd Wilcox
Eu iria atrás dos próprios interruptores em vez das máquinas. Isso o restringirá a um switch com bastante facilidade.
Loren Pechtel 17/08/19
@LorenPechtel sim, se você tiver vários comutadores, o algoritmo binário poderá exigir apenas a desconexão de um ou dois cabos para desconectar metade da rede.
Adam Davis
17

Você poderia apenas:

  • Abra a central de rede e compartilhamento (no início ou clique com o botão direito do mouse no ícone da bandeja de rede), clique no link azul de conexão -> detalhes.
  • encontre o endereço ipv4 dhcp (neste exemplo é 10.10.10.10)
  • Abra o prompt de comando no menu Iniciar.
  • executar ping nesse ip ping 10.10.10.10, por exemplo , isso força o computador a procurar o endereço MAC do servidor dhcp e adicioná-lo à tabela ARP, lembre-se de que o ping pode falhar se houver um firewall bloqueando-o, isso está ok e não causará problemas.
  • faça arp -a| findstr 10.10.10.10. Isso consulta a tabela arp para o endereço MAC.

Você verá algo como:

10.10.10.10       00-07-32-21-c7-5f     dynamic

A entrada do meio é o endereço MAC.

Em seguida, procure-o na tabela de comutadores MAC / Port conforme a resposta de joeqwerty, poste novamente se precisar de ajuda com isso.

Não é necessário instalar o wireshark.

Aaron Tate
fonte
4
O OP disse que não conseguiu executar ping no endereço IP do servidor DHCP e não conseguiu encontrar o endereço MAC na tabela ARP, e foi por isso que postei minha resposta. Ele pode ou não ter sucesso com sua sugestão, mas a sua é de longe uma abordagem mais simples e direta.
precisa saber é o seguinte