Servidor DHCP não autorizado

44

Nas últimas 3-4 semanas, tenho tentado encontrar um servidor DHCP não autorizado na minha rede, mas fiquei perplexo! Ele está oferecendo endereços IP que não funcionam com minha rede; portanto, qualquer dispositivo que precise de um endereço dinâmico está obtendo um do DHCP não autorizado e, em seguida, esse dispositivo para de funcionar. Preciso de ajuda para encontrar e destruir essa coisa! Eu acho que pode ser um Trojan de algum tipo.

Meu roteador principal é o único servidor DHCP válido e é 192.168.0.1, que oferece um intervalo de 192.160.0.150-199, e eu tenho isso configurado no AD como autorizado. Este DHCP ROGUE afirma ser proveniente de 192.168.0.20 e oferecer um endereço IP no intervalo de 10.255.255. * Que está atrapalhando TUDO na minha rede, a menos que eu atribua um endereço IP estático a ele. 192.168.0.20 não existe na minha rede.

Minha rede é um único servidor AD no Windows 2008R2, outros 3 servidores físicos (1-2008R2 e 2 2012R2), sobre 4 VMs do Hypervisor, 3 laptops e uma caixa do Windows 7.

Não consigo executar ping no IP 192.160.0.20 não autorizado e não consigo vê-lo na saída ARP -A, portanto não consigo obter o endereço MAC. Espero que alguém que esteja lendo este post tenha se deparado com isso antes.

networking dhcp-server Dave Stuart
fonte
12
Eu não sou de ajuda do lado do Windows, mas se eu estivesse no Linux, simplesmente faria uma captura de pacote com o tcpdump em um cliente, pois ele obteve uma concessão dhcp ruim. A captura de pacotes deve ter o endereço mac do sistema que enviou a oferta. Trace isso.
Yoonix
7
Você pode desconectar tudo e colocar as coisas de volta na rede, uma de cada vez?
RS
1
1) Você provavelmente pode ver o MAC do servidor não autorizado (se o cavalo de Troia não o tiver alterado) e - se você não tiver uma lista dos MACs de seus clientes - poderá grepobtê-lo no seu servidor anterior (ainda limpo) logs DHCP. 2) Se nada mais funcionar: desconecte metade das máquinas da rede, verifique se ele ainda está aqui. Então você saberá, em que metade é o bandido. Então, o mesmo na metade encontrada, e assim por diante.
peterh diz restabelecer Monica 15/08/17
4
Qual roteador? Pode ser que o próprio roteador esteja infectado.
J ...
1
Que tipo de switch você tem? gerenciado ou não gerenciado? Marca? Modelo? Dependendo dos recursos do switch, você poderá ter mais possibilidades de como resolver o problema.
Raffael Luthiger

Respostas:

53

Em um dos clientes Windows afetados, inicie uma captura de pacote (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, etc.) e, em um prompt de comando elevado, execute ipconfig / release . O cliente DHCP enviará uma DHCPRELEASEmensagem ao servidor DHCP de onde obteve o endereço IP. Isso deve permitir que você obtenha o endereço MAC do servidor DHCP não autorizado, que você pode rastrear na tabela de endereços MAC do switch para descobrir a qual porta do switch ele está conectado e, em seguida, rastrear essa porta do switch na tomada de rede e no dispositivo conectado. afim disso.

joeqwerty
fonte
1
Como posso exibir o endereço MAC e as tabelas ARP de um switch não gerenciado?
Dai15
25
@Dai Etapa 0: Compre switches gerenciados. Sei que nem sempre é uma opção, mas geralmente sua rede é grande o suficiente para fazer com que valha a pena ou pequena o suficiente para que não seria um trabalho difícil caminhar até cada máquina e interrogá-la.
Oli
1
@Dai Que marca e modelo é o switch?
Hagen von Eitzen
19
Se você possui um switch não gerenciado, o endereço mac ainda oferece algo para trabalhar - você pode procurar o fornecedor para ter uma idéia de qual tipo de hardware procurar e pode usar uma ferramenta como arping para executar ping no rouge enquanto você desconecta as portas do switch para descobrir a qual porta está conectada.
precisa saber é o seguinte
2
O que @Oli disse. Se hoje em dia você não possui uma infraestrutura de switch totalmente gerenciável, o problema não é que você não consegue encontrar um servidor DHCP não autorizado. É que você não consegue encontrar nada .
MadHatter apoia Monica
37

Encontrei!! Era minha câmera de rede D-Link DCS-5030L! Não tenho idéia do por que isso aconteceu. Foi assim que eu achei.

  1. Mudei o endereço IP do meu laptop para 10.255.255.150/255.255.255.0/10.255.255.1 e o servidor DNS 8.8.8.8 para que ele estivesse no intervalo do que o rogue dhcp estava fornecendo.
  2. Eu fiz um ipconfig / all para preencher a tabela ARP.
  3. Fiz um arp -a para obter uma lista dos IPs na tabela e havia o endereço MAC para 10.255.255.1, que é o gateway do servidor DHCP não autorizado!
  4. Em seguida, usei o Wireless Network Watcher do Nirsoft.net para encontrar o endereço IP REAL do dispositivo no endereço MAC que encontrei. O IP real do DHCP não autorizado era 192.168.0.153, captado dinamicamente pela câmera.
  5. Então, entrei na página da Web da câmera e vi que ela estava definida como 192.168.0.20, que era o endereço IP do servidor DHCP do rouge.
  6. Então eu mudei para um IP estático e o mantive como 192.160.0.20.

Agora eu posso continuar com minha vida !! Obrigado a todos pelo apoio.

Dave Stuart
fonte
25
Se sua câmera de rede estava executando um servidor DHCP, suspeito que ela tenha sido comprometida com malware. Nenhuma câmera executaria o DHCP de propósito. Eu procurei na documentação da D-Link e ela tem a capacidade de executar um servidor, mas ficaria muito surpreso se ele fosse configurado dessa maneira de propósito. Verifique se há malware, muitas câmeras foram invadidas dessa maneira.
Zan Lynx
3
Por que no mundo uma câmera de rede teria um servidor DHCP ???
RonJohn
14
@ RonJohn para que você possa acessar sua página da Web de configuração em uma rede autônoma que não possui um servidor DHCP próprio. Concordo que é estúpido para um dispositivo como esse ter um servidor DHCP, mas é por isso que eles fazem isso.
Moshe Katz
7
@ZanLynx Nenhuma câmera correria DHCP de propósito ... você ainda não conheci um monte de gerentes de engenharia de software têm de você;)
txtechhelp
3
O S na Internet das coisas significa segurança.
Patrick M
18

Faça uma pesquisa binária.

  1. Desconecte metade dos cabos
  2. Usando o teste '/ ipconfig release' se ele ainda estiver lá
  3. Nesse caso, desconecte outra metade do restante e vá para 2
  4. Caso contrário, reconecte a metade da primeira metade desconectada anteriormente, desconecte a segunda metade e vá para 2

Isso dividirá a rede em duas a cada teste sucessivo; portanto, se você tiver 1.000 máquinas, poderá levar até 10 testes para encontrar a porta individual na qual o servidor DHCP está sendo executado.

Você gastará muito tempo conectando e desconectando dispositivos, mas ele o reduzirá ao servidor dhcp sem muitas ferramentas e técnicas adicionais, para que funcione em qualquer ambiente.

Adam Davis
fonte
3
A melhor maneira de fazer a troca não gerenciada é desconectar a pesquisa. 1
Todd Wilcox
Eu iria atrás dos próprios interruptores em vez das máquinas. Isso o restringirá a um switch com bastante facilidade.
Loren Pechtel 17/08/19
@LorenPechtel sim, se você tiver vários comutadores, o algoritmo binário poderá exigir apenas a desconexão de um ou dois cabos para desconectar metade da rede.
Adam Davis
17

Você poderia apenas:

  • Abra a central de rede e compartilhamento (no início ou clique com o botão direito do mouse no ícone da bandeja de rede), clique no link azul de conexão -> detalhes.
  • encontre o endereço ipv4 dhcp (neste exemplo é 10.10.10.10)
  • Abra o prompt de comando no menu Iniciar.
  • executar ping nesse ip ping 10.10.10.10, por exemplo , isso força o computador a procurar o endereço MAC do servidor dhcp e adicioná-lo à tabela ARP, lembre-se de que o ping pode falhar se houver um firewall bloqueando-o, isso está ok e não causará problemas.
  • faça arp -a| findstr 10.10.10.10. Isso consulta a tabela arp para o endereço MAC.

Você verá algo como:

10.10.10.10       00-07-32-21-c7-5f     dynamic

A entrada do meio é o endereço MAC.

Em seguida, procure-o na tabela de comutadores MAC / Port conforme a resposta de joeqwerty, poste novamente se precisar de ajuda com isso.

Não é necessário instalar o wireshark.

Aaron Tate
fonte
4
O OP disse que não conseguiu executar ping no endereço IP do servidor DHCP e não conseguiu encontrar o endereço MAC na tabela ARP, e foi por isso que postei minha resposta. Ele pode ou não ter sucesso com sua sugestão, mas a sua é de longe uma abordagem mais simples e direta.
precisa saber é o seguinte