Log DHCPD menunjukkan PC meminta alamat IP dari router ketika mereka dimatikan. Apakah file log kami salah?

7

Kami memiliki kantor kecil dan saat memeriksa log router saya perhatikan bahwa sejumlah komputer telah meminta alamat IP dari router kantor di luar jam kerja.

Ini adalah output file log:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Karyawan mematikan komputer mereka ketika selesai bekerja. Saya telah mengkonfirmasi bahwa semua kecuali dua alamat MAC yang dicatat milik komputer di kantor kami.

Kami baru-baru ini mengalami pelanggaran keamanan. Kami mereset router, semua kata sandi admin dan kata sandi WiFi.

Mungkinkah komputer ini dapat menyalakan diri mereka sendiri di luar jam kerja dan membuat mereka dapat diakses oleh orang-orang di luar jaringan kami?

bloopiebloopie
sumber

Jawaban:

7

Tanyakan pertanyaan pertama yang diajukan:

Apakah mungkin komputer-komputer ini dapat mengubah diri mereka sendiri ...

Ya, komputer dapat hidup sendiri dan telah memiliki kemampuan ini sejak lama. Untuk PC yang kompatibel dengan IBM, ini normal karena mereka mendapatkan ATX PSU. (Tentang sejak 1995). Jika Anda masuk ke firmware motherboard (alias BIOS atau UEFI), Anda sering memiliki opsi untuk mengonfigurasi ini. Cukup berguna jika Anda memiliki PC lama dan ingin menghidupkan dan mem-boot sebelum Anda sampai di kantor.


Bagian kedua dari pertanyaan Anda

... dan membuat diri mereka dapat diakses oleh orang-orang di luar jaringan kami?

independen dari bagian pertama. Jika itu terjadi ketika komputer dinyalakan (terlepas dari apakah mereka dinyalakan sendiri atau dengan Anda menekan tombol daya) maka Anda memiliki masalah. Jika demikian, maka pelanggaran keamanan belum diperbaiki.


Terakhir, jika Anda mendapatkan alamat MAC maka Anda dapat melihat ke tiga byte pertama. Mereka akan memberi tahu Anda produsen mana yang membuat kartu jaringan yang meminta IP. Ini dapat membantu mengidentifikasi sumber (mis. Hanya kebutuhan DHCP dari printer, atau dari ponsel (pribadi?) Ponsel ...

Saya mencari alamat di pos Anda:

Alamat MAC dimulai dengan F8:0F:41atau dengan 98:EE:CBmilik Wistron InfoComm . Menurut Wikipedia, perusahaan ini membuat tablet, ponsel, dan perangkat lain yang menjalankan OS Chrome .

Alamat MAC dimulai dengan 64:EB:8Cmilik Seiko Epson Corporation. Itu mungkin printer (sekali lagi, printer mungkin memiliki rentang IP sendiri di kantor, meskipun mungkin dengan MAC → IP yang dicadangkan di server DHCP).

Alamat MAC dimulai dengan 4C:A1:61milik Rain Bird Corporation. Setiap pencarian yang saya lakukan pada nama itu menghasilkan sebuah perusahaan sprinkler.


Akhirnya:

Apakah file log kita salah?

Saya meragukan itu. Sesuatu sepertinya meminta informasi IP. Ini sedang dicatat. Tidak ada kesalahan dalam pencatatan. Masalah yang lebih besar adalah mengapa mereka melakukan itu di luar jam kerja? Apakah ada sistem penyiram rumput yang dihidupkan sepanjang hari (dan yang mungkin seharusnya 24/7)? Apakah ada printer yang tidak dimatikan tetapi malah beralih ke mode tidur? Apakah ada laptop atau PC yang tidak dimatikan dengan benar tetapi yang beralih ke mode daya rendah (tidur?), Mendeteksi baterai rendah dan daya untuk beralih ke mode tidur nyenyak?

Pada dasarnya, cari tahu perangkat mana (seharusnya mudah, Anda mendapat MAC dan IP, jadi Anda bisa menggunakan dokumentasi untuk mencari PC mana itu, atau menggunakan router untuk mencari tahu perangkat mana itu). Kemudian teliti lebih jauh dari perangkat terakhir itu. (Dalam kasus komputer windows coba powercfg lastwake).

Hennes
sumber
Kecuali bahwa saya baru-baru ini mengetahui bahwa alamat MAC dapat diubah. Comcast sering melakukan ini pada router / modem mereka.
DocSalvager
Alamat MAC biasanya dibangun ke dalam NICs ROM. Banyak NIC menyalin dari ini ke ruang kerja mereka, memungkinkan Anda untuk mengubahnya. Tetapi jika itu diubah maka itu menjadi pekerjaan orang yang mengubahnya untuk memastikan 100% itu unik pada LAN. Yang hanya dapat Anda lakukan jika Anda mengontrol semua perangkat [potensial] pada LAN itu. Karena ini tidak menawarkan keuntungan dan hanya menciptakan masalah potensial, tidak ada alasan yang baik untuk mengubah MAC.
Hennes
Mungkin saya harus memperluas tidak 'tidak ada alasan bagus'. Ada dua pengecualian: serangan keracunan ARP (sebagai penyerang), dan beberapa dekade yang lalu modem kabel ISP hanya mendukung satu PC per modem kabel. Itu dilakukan dengan hanya mengizinkan akses dari satu MAC. Sejauh yang saya tahu ini belum digunakan dalam beberapa dekade terakhir, jadi solusi untuk itu mungkin dari panduan yang sudah ketinggalan zaman. Adapun comcast, apakah mereka mengubah MAC atau perangkat mereka (termasuk MAC-nya). Yang terakhir tampaknya lebih mungkin, dan mungkin karena penyeimbangan beban.
Hennes