Frage Rogue DHCP Server kann nicht gefunden werden


In den letzten 3-4 Wochen habe ich versucht, einen bösartigen DHCP-Server in meinem Netzwerk zu finden, bin aber ratlos! Es bietet IP-Adressen an, die nicht mit meinem Netzwerk funktionieren. Jedes Gerät, das eine dynamische Adresse benötigt, erhält eine vom Rogue-DHCP und dieses Gerät funktioniert dann nicht mehr. Ich brauche Hilfe, um dieses Ding zu finden und zu zerstören! Ich denke, es könnte ein Trojaner sein.

Mein Haupt-Router ist der einzige gültige DHCP-Server und ist 192.168.0.1, der einen Bereich von 192.160.0.150-199 bietet, und ich habe dies in meinem AD als Autorisiert konfiguriert. Dieses ROGUE DHCP soll von 192.168.0.20 kommen und eine IP-Adresse im Bereich von 10.255.255. * Anbieten, die ALLES in meinem Netzwerk durcheinander bringt, es sei denn, ich weise ihr eine statische IP-Adresse zu. 192.168.0.20 existiert nicht in meinem Netzwerk.

Mein Netzwerk ist ein einzelner AD Server unter Windows 2008R2, 3 weitere physische Server (1-2008R2 und 2 2012R2) über 4 Hypervisor VMs, 3 Laptops und eine Windows 7 Box.

Ich kann die Rogue 192.160.0.20 IP nicht pingen, und ich kann es nicht in der ARP-A-Ausgabe sehen, so dass ich seine MAC-Adresse nicht bekommen kann. Ich hoffe, dass jemand, der diesen Beitrag liest, schon einmal darauf gestoßen ist.


44
2017-08-15 02:33


Ursprung


Ich bin keine Hilfe auf der Windows-Seite, aber wenn ich unter Linux war, würde ich einfach eine Paketerfassung mit tcpdump auf einem Client machen, da es eine schlechte DHCP-Lease erhielt. Die Paketerfassung sollte die MAC-Adresse des Systems haben, das das Angebot gesendet hat. Verfolgen Sie das. - yoonix
Kannst du alles trennen und einzeln wieder im Netzwerk installieren? - R. S.
1) Sie können wahrscheinlich die MAC des Rogue-Servers sehen (wenn der Trojaner sie nicht geändert hat), und - wenn Sie keine Liste von den MACs Ihrer Clients haben - dann können Sie das tun grep dafür in Ihren früheren (noch sauberen) DHCP-Protokollen. 2) Wenn nichts anderes funktioniert: Die Hälfte der Maschinen aus dem Netz nehmen, prüfen, ob er noch da ist. Du wirst also wissen, in welcher Hälfte der Bösewicht ist. Dann so das selbe in halb gefunden, und so weiter. - peterh
Welcher Router? Es könnte sein, dass der Router selbst infiziert ist. - J...
Welche Art von Schalter hast du? verwaltet oder nicht verwaltet? Marke? Modell? Abhängig von den Möglichkeiten des Switches haben Sie möglicherweise mehr Möglichkeiten, das Problem zu lösen. - Raffael Luthiger


Antworten:


Starten Sie auf einem der betroffenen Windows-Clients eine Paketerfassung (Wireshark, Microsoft Netzwerkmonitor, Microsoft Message Analyzer usw.), und führen Sie dann eine Eingabeaufforderung mit erhöhten Rechten aus ipconfig / release. Der DHCP-Client sendet ein DHCPRELEASE Nachricht an den DHCP-Server, von dem es seine IP-Adresse erhalten hat. Dadurch sollten Sie die MAC-Adresse des bösartigen DHCP-Servers erhalten, die Sie dann in Ihrer Switch-MAC-Adresstabelle nachsehen können, mit welchem ​​Switch-Port sie verbunden ist, und diesen Switch-Port dann auf die Netzwerkbuchse und das Gerät aufstecken hinein.


53
2017-08-15 02:51



Wie kann ich die MAC-Adresse und die ARP-Tabellen eines nicht verwalteten Switches anzeigen? - Dai
@Dai Schritt 0: Verwaltete Switches kaufen. Ich weiß, das ist nicht immer eine Option, aber meistens Ihr Netzwerk ist entweder groß genug, um es wert zu sein, oder klein genug, dass es keine schwierige Aufgabe wäre, zu jeder Maschine zu gehen und sie zu befragen. - Oli
@Dai Was machen und Modell ist der Schalter? - Hagen von Eitzen
Wenn Sie einen nicht verwalteten Switch verwenden, können Sie mit der MAC - Adresse immer noch arbeiten Verkäufer So haben Sie eine Idee, welche Marke von Hardware Sie suchen, UND Sie können ein Tool wie verwenden Arping Pingen Sie das Rouge an, während Sie die Switch-Ports trennen, um herauszufinden, mit welchem ​​Port es verbunden ist. - Michael Kohne
Was @Oli gesagt hat. Wenn Sie in der heutigen Zeit noch keine vollständig verwaltbare Switch-Infrastruktur haben, besteht Ihr Problem nicht darin, dass Sie keinen bösartigen DHCP-Server finden. Es ist, dass Sie nicht finden können etwas. - MadHatter


Fand es!! Es war meine DCS-5030L D-Link Netzwerk Kamera! Ich habe keine Ahnung, warum das passiert ist. So habe ich es gefunden.

  1. Ich änderte die IP-Adresse meines Laptops auf 10.255.255.150/255.255.255.0/10.255.255.1 und den DNS-Server 8.8.8.8, so dass es im Bereich dessen lag, was das Rogue-DHCP ausgab.
  2. Ich habe dann einen ipconfig / all erstellt, um die ARP-Tabelle zu füllen.
  3. Habe ein arp -a, um eine Liste der IPs in der Tabelle zu bekommen und da war die MAC-Adresse für 10.255.255.1 welches das Gateway des Rogue DHCP Servers ist!
  4. Ich habe dann Wireless Network Watcher von Nirsoft.net verwendet, damit ich die REALE IP-Adresse des Geräts von der MAC-Adresse finden konnte, die ich gefunden habe. Die tatsächliche IP des Rogue DHCP war 192.168.0.153, die von der Kamera dynamisch aufgenommen wurde.
  5. Ich loggte mich dann auf der Kamera-Webseite ein und sah, dass es vorher auf 192.168.0.20 eingestellt war, welches die IP-Adresse des Rouge-DHCP-Servers war.
  6. Dann habe ich es auf eine statische IP umgestellt und behalte es als 192.160.0.20.

Jetzt kann ich mit meinem Leben weitermachen !! Danke an alle für die Unterstützung.


37
2017-08-15 17:54



Wenn Ihre Netzwerkkamera einen DHCP-Server betreibt, vermute ich, dass sie mit Malware kompromittiert wurde. Keine Kamera würde DHCP mit Absicht ausführen. Ich habe es in der D-Link-Dokumentation nachgeschlagen und es verfügt über diese Fähigkeit, einen Server zu betreiben, aber ich wäre sehr überrascht, wenn es absichtlich so konfiguriert wäre. Überprüfen Sie es auf Malware, viele Kameras wurden auf diese Weise entführt. - Zan Lynx
Warum in der Welt hätte eine Netzwerkkamera einen DHCP-Server ??? - RonJohn
@RonJohn, damit Sie auf seine Konfigurationswebseite in einem eigenständigen Netzwerk zugreifen können, das keinen eigenen DHCP-Server hat. Ich stimme zu, dass es für ein solches Gerät dumm ist, einen DHCP-Server zu haben, aber das ist der Grund, warum sie es tun. - Moshe Katz
@ ZanLynx Keine Kamera würde DHCP mit Absicht ausführen ... Sie haben nicht viele Software Engineering Manager getroffen haben Sie;) - txtechhelp
Das S im IoT steht für Sicherheit. - Patrick M


Führen Sie eine binäre Suche durch.

  1. Trennen Sie die Hälfte der Kabel
  2. Mit '/ ipconfig release' testen, ob es noch da ist
  3. Wenn dies der Fall ist, trennen Sie eine weitere Hälfte der verbleibenden und gehen Sie zu 2
  4. Wenn nicht, verbinden Sie die Hälfte der zuvor getrennten ersten Hälfte, trennen Sie die zweite Hälfte und gehen Sie zu 2

Dadurch wird das Netzwerk bei jedem folgenden Test in zwei geteilt. Wenn Sie also 1.000 Computer haben, können Sie bis zu 10 Tests benötigen, um den einzelnen Port zu finden, auf dem der DHCP-Server läuft.

Sie werden viel Zeit mit dem Ein- und Ausstecken von Geräten verbringen, aber es wird es auf den DHCP-Server ohne viele zusätzliche Tools und Techniken eingrenzen, so dass es in jeder Umgebung funktioniert.


18
2017-08-15 16:33



Eine bessere Möglichkeit, die unmanaged Switch-Suche zu lösen. +1 - Todd Wilcox
Ich würde eher nach den Schaltern als nach den Maschinen gehen. Das wird es ziemlich einfach auf einen Schalter eingrenzen. - Loren Pechtel
@LorenPechtel Ja, wenn Sie mehrere Switches haben, dann muss der Binäralgorithmus möglicherweise nur ein oder zwei Kabel trennen, um die Hälfte des Netzwerks zu trennen. - Adam Davis


Du könntest einfach:

  • Öffnen Sie das Netzwerk und das Freigabecenter (entweder von Anfang an oder klicken Sie mit der rechten Maustaste auf das Netzwerk-Tray-Symbol), klicken Sie auf den blauen Verbindungslink -> Details.
  • finde die ipv4 dhcp Adresse (in diesem Beispiel ist es 10.10.10.10)
  • Öffnen Sie die Eingabeaufforderung im Startmenü.
  • ping diese IP zB ping 10.10.10.10Dies zwingt den Computer dazu, die MAC-Adresse des DHCP-Servers nachzuschlagen und sie zur ARP-Tabelle hinzuzufügen. Beachten Sie, dass der Ping möglicherweise fehlschlägt, wenn eine Firewall ihn blockiert, dies ist in Ordnung und verursacht keine Probleme.
  • tun arp -a| findstr 10.10.10.10. Dies fragt die arp-Tabelle nach der MAC-Adresse ab.

Du wirst etwas sehen wie:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Der mittlere Eintrag ist die MAC-Adresse.

Dann schaue es in der MAC / Port-Tabelle der Switches nach der Antwort von joeqwerty an und poste zurück, wenn du Hilfe brauchst.

Keine Notwendigkeit, Wireshark zu installieren.


17
2017-08-15 04:05



Das OP sagte, dass er die IP-Adresse des DHCP-Servers nicht anpingen konnte und die MAC-Adresse in seiner ARP-Tabelle nicht finden konnte, weshalb ich meine Antwort gepostet habe. Er kann oder darf keinen Erfolg mit Ihrem Vorschlag haben, aber Ihr ist bei weitem ein einfacherer, direkterer Ansatz. - joeqwerty