Обнаружен мошеннический DHCP-сервер, и он оказался в моем ноутбуке. Кажется, что он встроен, поскольку его нельзя просмотреть в Windows по имени, IP или MAC.
Запуск сети 192.168.192.0/21 (на самом деле восемь сетей из / 24) разнесен географически. Одна из подсетей - 192.168.197.0/24 - исторически имела один из наших почтовых серверов и маршрутизатор, подключенные к Интернету, но их давно нет. (Это будет иметь смысл дальше)
Сидя на 192.168.193.0/24, у меня были некоторые проблемы, которые я не нашел, почему случайные устройства не работают должным образом, пока я не обнаружил, что есть 2 разных активных DHCP-сервера. Потребовалось время, пока мне удалось изолировать и найти IP / MAC-адрес мошеннического DHCP-сервера, и, к моему удивлению, он, похоже, был с моего ноутбука.
Мой ноутбук работает под управлением Windows 10. ipconfig показывает br0 (eth0 + wlan) (192.168.193.212), беспроводное подключение к локальной сети 3 (мультимедиа отключено), беспроводное подключение к локальной сети 2 (мультимедиа отключено)
br0 показывает MAC 00: 28: f8: 71: 5c: 41, GW 192.168.193.17 и DHCP-сервер 192.168.193.25 (является ли MAC-адрес реальным или выдуманным, если это мост, я не знать) Он также показывает DUID клиента DHCPv6 00-01-00-01-20-6A-EF-70-C8-5B-76-EC-65-5E
При использовании "tcpdump -v -n port 67 or 68" (на отдельном хосте) выясняется, что 192.168.193.25 действительно доставляет правильную информацию, а также другой DHCP-сервер с IP 192.168.197.17 (старый маршрутизатор из предыдущей сети 192.168 .197.0). Но этот маршрутизатор больше НЕ подключен. Так откуда это?
Использование ping 192.168.197.17 с ноутбука ничего не показывает, что и понятно, поскольку такая сеть не настроена.
Из «ifconfig eth0: 0 192.168.197.18 вверх» на отдельном хосте -> дает 192.168.197.17 имеет (arp -a) MAC c8: 5b: 76: ec: 65: 5e и отвечает на ping, так что он действительно существует где-то. При отключении ноутбука от сети пинги перестают возвращаться. Если снова вставить сетевой кабель, ответы на эхо-запрос возобновятся.
На моем ноутбуке нет такого MAC, видимого для Windows.
Однако упомянутый DUID в последней части содержит MAC-адрес. DHCPv6 Client DUID 00-01-00-01-20-6A-EF-70-C8-5B-76-EC-65-5E <---> MAC c8: 5b: 76: ec: 65: 5e Я сделал Быстрый поиск MAC-адреса, он также может быть подделан, но утверждается, что он принадлежит LCFC (HeFei) Electronics Technology co., ltd (Китай). Кто знает...
Если бы я был в предыдущей старой сети, я бы ее не обнаружил, но теперь из-за этого устройства перестают работать, поэтому я начал исследовать.
dhcp предлагает от мошеннического dhcp-сервера GW 192.168.197.17 DNS 192.168.193.25, 192.168.9.158, 192.168.197.28 и предыдущий действующий IP-адрес на момент обслуживания. 192.168.193.25 и 192.168.197.28 имеют смысл, но не 192.168.9.158. dig www.bbc.com @ 192.168.197.17 истекло время ожидания. Так что копает ... @ 192.168.9.158.
Я тестировал RogueChecker.exe, и он обнаруживает этот dhcp-сервер как на ноутбуке, так и на другом хосте. Как и dhcp_probe.
Я проверил систему Windows 10 на наличие вирусов и прочего, но ничего не обнаружил.
Некоторое время я подозревал, что VirtualBox мог помешать внутреннему dhcp-серверу, но это кажется странным, когда он не активируется после перезагрузки, и даже в этом случае он не должен отображаться таким образом. Насколько я помню, VBox многословный и не скрытый, а dhcp-сервер только для внутренней сети.
Какой процесс в Windows 10 отвечает? netstat -a -b не обнаруживает ничего, связанного с портом 67 или 68.
Поскольку это кажется призрачным сетевым интерфейсом, я понятия не имею, как действовать дальше.