web-dev-qa-db-fra.com

Serveur DHCP escroc introuvable

Au cours des 3-4 dernières semaines, j'ai essayé de trouver un serveur DHCP non autorisé sur mon réseau, mais j'ai été perplexe! Il propose des adresses IP qui ne fonctionnent pas avec mon réseau, donc tout périphérique qui a besoin d'une adresse dynamique en obtient une du DHCP non autorisé, puis ce périphérique cesse de fonctionner. J'ai besoin d'aide pour trouver et détruire cette chose! Je pense que ce pourrait être un cheval de Troie en quelque sorte.

Mon routeur principal est le seul serveur DHCP valide et est 192.168.0.1 qui offre une plage de 192.160.0.150-199, et je l'ai configuré dans mon AD comme autorisé. Ce DHCP ROGUE prétend provenir de 192.168.0.20 et offrir une adresse IP dans la plage de 10.255.255. * Qui gâche TOUT sur mon réseau à moins que je ne lui attribue une adresse IP statique. 192.168.0.20 n'existe pas sur mon réseau.

Mon réseau est un seul serveur AD sur Windows 2008R2, 3 autres serveurs physiques (1-2008R2 et 2 2012R2) environ 4 machines virtuelles hyperviseur, 3 ordinateurs portables et une boîte Windows 7.

Je ne peux pas cingler l'IP 192.160.0.20 voyous, et je ne peux pas le voir dans la sortie ARP -A, donc je ne peux pas obtenir son adresse MAC. J'espère que quelqu'un lisant ce post l'a déjà rencontré.

44
Dave Stuart

Sur l'un des clients Windows concernés, démarrez une capture de paquets (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, etc.), puis à partir d'une invite de commande élevée exécutée ipconfig/release. Le client DHCP enverra un message DHCPRELEASE au serveur DHCP à partir duquel il a obtenu son adresse IP. Cela devrait vous permettre d'obtenir l'adresse MAC du serveur DHCP non autorisé, que vous pouvez ensuite retrouver dans votre tableau d'adresses MAC de commutateur pour savoir à quel port de commutateur il est connecté, puis suivre ce port de commutateur jusqu'à la prise réseau et le périphérique branché. dans ça.

53
joeqwerty

Je l'ai trouvé !! C'était ma caméra réseau D-Link DCS-5030L! Je n'ai aucune idée pourquoi cela s'est produit. C'est comme ça que je l'ai trouvé.

  1. J'ai changé l'adresse IP de mon ordinateur portable en 10.255.255.150/255.255.255.0/10.255.255.1 et le serveur DNS 8.8.8.8 afin qu'il soit dans la plage de ce que le DHCP malveillant voyait.
  2. J'ai ensuite fait un ipconfig/all pour remplir la table ARP.
  3. A fait un arp -a pour obtenir une liste des IP dans le tableau et il y avait l'adresse MAC pour 10.255.255.1 qui est la passerelle du serveur DHCP voyou!
  4. J'ai ensuite utilisé Wireless Network Watcher de Nirsoft.net afin que je puisse trouver l'adresse IP RÉELLE de l'appareil à partir de l'adresse MAC que j'ai trouvée. L'IP réelle du Rogue DHCP était 192.168.0.153, qui a été captée dynamiquement par la caméra.
  5. Je me suis ensuite connecté à la page Web de la caméra et j'ai vu qu'elle était précédemment définie sur 192.168.0.20, qui était l'adresse IP du serveur DHCP rouge.
  6. Ensuite, je l'ai changé pour une adresse IP statique et je l'ai conservé sous 192.160.0.20.

Maintenant je peux continuer ma vie !! Merci à tous pour votre soutien.

37
Dave Stuart

Faites une recherche binaire.

  1. Débranchez la moitié des câbles
  2. Utiliser le test '/ ipconfig release' s'il est toujours là
  3. Si oui, déconnectez une autre moitié du reste et passez à 2
  4. Sinon, reconnectez la moitié de la première moitié précédemment déconnectée, déconnectez la seconde moitié et passez à 2

Cela divisera le réseau en deux chaque test successif, donc si vous avez 1 000 machines, il peut vous falloir jusqu'à 10 tests pour trouver le port individuel sur lequel le serveur DHCP s'exécute.

Vous passerez beaucoup de temps à brancher et à débrancher des périphériques, mais cela se limitera au serveur DHCP sans beaucoup d'outils et de techniques supplémentaires, donc cela fonctionnera dans n'importe quel environnement.

18
Adam Davis

Vous pourriez simplement:

  • Ouvrez le centre de réseau et de partage (depuis le début ou cliquez avec le bouton droit sur l'icône de la barre d'état réseau), cliquez sur le lien de connexion bleu -> détails.
  • trouver l'adresse ipv4 dhcp (dans cet exemple, c'est 10.10.10.10)
  • Ouvrez l'invite de commandes dans le menu Démarrer.
  • cingler cette ip par exemple ping 10.10.10.10, cela oblige l'ordinateur à rechercher l'adresse MAC du serveur DHCP et à l'ajouter à la table ARP, sachez que le ping peut échouer s'il y a un pare-feu qui le bloque, c'est correct et ne causera pas de problèmes.
  • faire arp -a| findstr 10.10.10.10. Cela interroge la table arp pour l'adresse MAC.

Vous verrez quelque chose comme:

10.10.10.10       00-07-32-21-c7-5f     dynamic

L'entrée du milieu est l'adresse MAC.

Ensuite, recherchez-le dans la table MAC/Port des commutateurs selon la réponse de joeqwerty, postez si vous avez besoin d'aide pour cela.

Pas besoin d'installer wirehark.

17
Aaron Tate