Назад | Перейти на главную страницу

Найдите мошеннический DHCP-сервер

Возможный дубликат:
Как узнать, есть ли в моей сети поддельный DHCP-сервер?

Я знаю, что это серьезный долгий путь, но поехали.

За последнюю неделю или около того пользователи, подключенные к определенному коммутатору в нашей сети (все подключено к четырем тупым коммутаторам, и это влияет только на НЕКОТОРЫЕ, а не на всех пользователей на одном коммутаторе), получали адреса DHCP от мошеннического DHCP-сервера. .

Я физически проверил каждый кабель, подключенный к рассматриваемому коммутатору, чтобы убедиться, что ни к одному из них не подключен маршрутизатор или точка доступа Wi-Fi. Я знаю IP-адрес DHCP-сервера, но не могу пропинговать его, и у него нет веб-интерфейса.

Есть ли у кого-нибудь предложения о том, что я могу сделать, чтобы найти его или отключить? К сожалению, все переключатели неуправляемы, и, как уже упоминалось, нет физического устройства (которое я могу найти), подключенного к чему-либо.

Это становится критичным, потому что это мешает загрузке PXE целой группы тонких клиентов.

Пробовать Nmap использование -O для определения операционной системы может дать вам лучшее представление о том, что это за сервер? Также запуск стандартного сканирования портов может помочь выяснить, что это такое.

То, что вы не можете пропинговать это, не проблема.

(Эта процедура в основном предназначена для управляемых переключателей, в случае с вашими «тупыми» переключателями она не так полезна, поскольку вы не можете проверить таблицу кулачков ... но в любом случае.)

  1. запустите ipconfig / all (или посмотрите системный журнал), обратите внимание на IP-адрес, указанный для «DHCP-сервера». Обычно это то же самое, что и шлюз по умолчанию.
  2. попытайтесь пропинговать этот IP-адрес, проигнорируйте результат.
  3. запустите arp -a. MAC-адрес, указанный для IP-адреса, является вашим мошенническим DHCP-сервером.

Итак, в вашем случае вы не можете следить за этим, обнаружив коммутатор и отключив его, но вы могли бы, по крайней мере, найти поставщика MAC-адреса и обнаружить, что этот поставщик был чем-то вроде vmware или virtualbox.

Если у вас валяется коробка, можно установить https://roguedetect.bountysource.com/ на нем, который уведомит вас, если подобная проблема возникнет в будущем.

Что ж, вы всегда можете попробовать пинговать дерьмо и проверить мигающие индикаторы на роутерах. = P

Трассировка вам что-нибудь показывает?

Я знаю, что это уже решено, но другое средство, когда вы действительно не можете найти машину (зная, что это виртуальная машина, не сообщает вам, на каком хосте она находится), - это продолжать отправлять ей запросы DHCP и отключать каждый кабель по очереди, пока он замолкает. Иногда вам просто нужно вернуться к грубым основам.

Запустите Wireshark, чтобы получить MAC-адрес сервера. Он должен по крайней мере сообщить вам производителя (MAC-адреса назначаются централизованно, и каждому производителю выделяется набор адресов).