Server DHCP Nakal Tidak dapat ditemukan

44

Selama 3-4 minggu terakhir saya telah mencoba untuk menemukan server DHCP jahat di jaringan saya tetapi telah bingung! Ia menawarkan Alamat IP yang tidak berfungsi dengan jaringan saya, jadi perangkat apa pun yang memerlukan Alamat Dinamis akan mendapatkannya dari Rogue DHCP dan kemudian perangkat itu berhenti berfungsi. Saya butuh bantuan untuk menemukan dan menghancurkan benda ini! Saya pikir itu mungkin semacam Trojan.

Router Utama saya adalah satu-satunya DHCP Server yang valid dan 192.168.0.1 yang menawarkan kisaran 192.160.0.150-199, dan saya mengonfigurasi ini dalam AD saya sebagai Diotorisasi. DHCP ROGUE ini mengklaim berasal dari 192.168.0.20 dan menawarkan Alamat IP dalam kisaran 10.255.255. * Yang mengacaukan SEGALA SESUATU di jaringan saya kecuali saya menetapkan Alamat IP statis untuknya. 192.168.0.20 tidak ada di jaringan saya.

Jaringan saya adalah AD Server tunggal pada Windows 2008R2, 3 server fisik lainnya (1-2008R2 dan 2 2012R2) tentang 4 Hypervisor VM, 3 laptop dan kotak Windows 7.

Saya tidak bisa melakukan ping ke IP 192.160.0.20 yang nakal, dan saya tidak bisa melihatnya di keluaran ARP, jadi saya tidak bisa mendapatkan alamat MAC-nya. Saya berharap seseorang yang membaca posting ini telah menemukan ini sebelumnya.

Dave Stuart
sumber
12
Saya tidak membantu di sisi windows tetapi jika saya berada di Linux, saya hanya akan mengambil paket capture dengan tcpdump pada klien karena memperoleh sewa dhcp yang buruk. Pengambilan paket harus memiliki alamat mac dari sistem yang mengirim penawaran. Lacak itu.
yoonix
7
Bisakah Anda mencabut semuanya dan mengembalikan semuanya ke jaringan satu per satu?
RS
1
1) Anda mungkin dapat melihat MAC dari server jahat (jika trojan tidak mengubahnya), dan - jika Anda tidak memiliki daftar dari MAC klien Anda - maka Anda dapat grepmelihatnya di awal (belum) bersih) log DHCP. 2) Jika tidak ada yang berhasil: hubungkan setengah dari mesin dari internet, periksa apakah ia masih ada di sini. Jadi, Anda akan tahu, di mana setengahnya adalah orang jahat. Kemudian begitu yang sama ditemukan setengah, dan sebagainya.
peterh mengatakan mengembalikan Monica
4
Router apa? Bisa jadi router itu sendiri terinfeksi.
J ...
1
Jenis saklar apa yang Anda miliki? dikelola atau tidak dikelola? Merek? Model? Bergantung pada kemampuan sakelar, Anda mungkin memiliki beberapa kemungkinan cara mengatasi masalah.
Raffael Luthiger

Jawaban:

53

Pada salah satu klien Windows yang terpengaruh, mulailah menangkap paket (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, dll.), Kemudian dari prompt perintah yang ditinggikan, jalankan ipconfig / release . Klien DHCP akan mengirim DHCPRELEASEpesan ke server DHCP tempat ia memperoleh alamat ipnya. Ini akan memungkinkan Anda untuk mendapatkan alamat MAC dari server DHCP jahat, yang kemudian dapat Anda lacak di tabel alamat MAC sakelar Anda untuk mengetahui port sakelar mana yang terhubung, kemudian lacak port sakelar itu ke soket jaringan dan perangkat terhubung ke stopkontak. ke dalamnya.

joeqwerty
sumber
1
Bagaimana saya bisa melihat alamat MAC dan tabel ARP dari sakelar yang tidak dikelola?
Dai
25
@Dai Langkah 0: Beli sakelar yang dikelola. Saya tahu itu tidak selalu merupakan pilihan tetapi biasanya jaringan Anda cukup besar untuk membuat mereka berharga atau cukup kecil sehingga tidak akan menjadi pekerjaan yang sulit untuk berjalan ke setiap mesin dan menginterogasinya.
Oli
1
@ Apa yang membuat dan model saklar?
Hagen von Eitzen
19
Jika Anda memiliki sakelar yang tidak dikelola, alamat mac masih memberi Anda sesuatu untuk dikerjakan - Anda dapat mencari vendornya sehingga Anda memiliki gagasan tentang merek perangkat keras mana yang harus dicari, DAN Anda dapat menggunakan alat seperti arping untuk melakukan ping pemerah sementara Anda mencabut port switch untuk mengetahui port mana yang terhubung.
Michael Kohne
2
Apa yang dikatakan @Oli. Jika Anda tidak, di zaman sekarang ini, memiliki infrastruktur switch yang sepenuhnya dapat dikelola, masalah Anda bukanlah bahwa Anda tidak dapat menemukan server DHCP yang jahat. Anda tidak dapat menemukan apa pun .
MadHatter mendukung Monica
37

Menemukannya!! Itu adalah Kamera Jaringan D-Link DCS-5030L saya! Saya tidak tahu mengapa ini terjadi. Ini adalah bagaimana saya menemukannya.

  1. Saya mengubah alamat IP laptop saya menjadi 10.255.255.150/255.255.255.0/10.255.255.1 dan DNS Server 8.8.8.8 sehingga akan berada dalam kisaran apa yang dhcp nakal lakukan.
  2. Saya kemudian melakukan ipconfig / all untuk mengisi tabel ARP.
  3. Apakah arp -a untuk mendapatkan daftar IP di tabel dan ada Alamat MAC untuk 10.255.255.1 yang merupakan gateway dari DHCP Server jahat!
  4. Saya kemudian menggunakan Wireless Network Watcher dari Nirsoft.net sehingga saya dapat menemukan Alamat IP NYATA perangkat dari Alamat MAC yang saya temukan. IP sebenarnya dari Rogue DHCP adalah 192.168.0.153, yang secara dinamis diambil oleh Kamera.
  5. Saya kemudian masuk ke halaman web Camera dan melihat bahwa itu sebelumnya diatur ke 192.168.0.20 yang merupakan Alamat IP dari DHCP Server rouge.
  6. Lalu saya beralih ke IP statis dan menyimpannya sebagai 192.160.0.20.

Sekarang saya bisa melanjutkan hidup saya !! Terima kasih untuk semua orang atas dukungannya.

Dave Stuart
sumber
25
Jika kamera jaringan Anda menjalankan server DHCP, saya menduga itu telah dikompromikan dengan malware. Tidak ada kamera yang sengaja menjalankan DHCP. Saya mencarinya di dokumentasi D-Link dan memang memiliki kemampuan untuk menjalankan server, tetapi saya akan sangat terkejut jika dikonfigurasi dengan sengaja. Periksa apakah ada malware, banyak kamera telah dibajak seperti itu.
Zan Lynx
3
Mengapa kamera jaringan memiliki server DHCP ???
RonJohn
14
@RonJohn sehingga Anda dapat mengakses halaman web konfigurasinya pada jaringan mandiri yang tidak memiliki server DHCP sendiri. Saya setuju bahwa itu bodoh untuk perangkat seperti itu untuk memiliki server DHCP, tetapi itulah alasan mereka melakukannya.
Moshe Katz
7
@ ZanLynx Tidak ada kamera yang akan menjalankan DHCP dengan sengaja ... Anda belum pernah bertemu banyak manajer rekayasa perangkat lunak, kan?)
txtechhelp
18

Lakukan pencarian biner.

  1. Cabut setengah kabel
  2. Menggunakan tes '/ ipconfig release' jika masih ada
  3. Jika demikian, lepaskan setengah dari sisanya dan goto 2
  4. Jika tidak, hubungkan kembali setengah dari babak pertama yang sebelumnya terputus, lepaskan babak kedua dan kebagian 2

Ini akan membagi jaringan menjadi dua setiap pengujian berturut-turut, jadi jika Anda memiliki 1.000 mesin, Anda mungkin memerlukan hingga 10 tes untuk menemukan masing-masing port yang dijalankan oleh server DHCP.

Anda akan menghabiskan banyak waktu untuk menyambungkan dan mencabut perangkat, tetapi akan mempersempitnya ke server dhcp tanpa banyak alat dan teknik tambahan, sehingga ini akan bekerja di lingkungan apa pun.

Adam Davis
sumber
3
Cara yang lebih baik untuk melakukan sakelar pencarian cabut yang tidak dikelola. +1
Todd Wilcox
Saya akan pergi setelah switch sendiri daripada mesin. Itu akan mempersempitnya ke satu saklar dengan cukup mudah.
Loren Pechtel
@ LorenPechtel ya, jika Anda memiliki beberapa sakelar, maka algoritma biner mungkin hanya perlu memutus satu atau dua kabel untuk memutus separuh jaringan.
Adam Davis
17

Anda bisa saja:

  • Buka jaringan dan pusat berbagi (baik dari awal atau klik kanan ikon baki jaringan), klik tautan koneksi biru -> detail.
  • temukan alamat ipv4 dhcp (dalam contoh ini 10.10.10.10)
  • Buka Command Prompt dari menu mulai.
  • ping ip itu misalnya ping 10.10.10.10, ini memaksa komputer mencari alamat MAC server dhcp dan menambahkannya ke tabel ARP, perlu diketahui bahwa ping mungkin gagal jika ada firewall memblokirnya, ini ok dan tidak akan menyebabkan masalah.
  • lakukan arp -a| findstr 10.10.10.10. Ini kueri tabel arp untuk alamat MAC.

Anda akan melihat sesuatu seperti:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Entri tengah adalah alamat MAC.

Kemudian cari di switch MAC / Port table sesuai jawaban joeqwerty, kirim kembali jika Anda memerlukan bantuan.

Tidak perlu menginstal wireshark.

Aaron Tate
sumber
4
OP mengatakan dia tidak dapat melakukan ping ke alamat ip server DHCP dan tidak dapat menemukan alamat MAC di tabel ARP-nya, itulah sebabnya saya memposting jawaban saya. Dia mungkin atau mungkin tidak berhasil dengan saran Anda, tetapi Anda jauh lebih sederhana, pendekatan yang lebih mudah.
joeqwerty