Serveur DHCP non autorisé introuvable

44

Au cours des 3-4 dernières semaines, j'ai essayé de trouver un serveur DHCP non autorisé sur mon réseau, mais je suis resté bloqué! Il propose des adresses IP qui ne fonctionnent pas avec mon réseau. Ainsi, tout périphérique nécessitant une adresse dynamique en reçoit une du serveur DHCP non autorisé, puis ce périphérique cesse de fonctionner. J'ai besoin d'aide pour trouver et détruire cette chose! Je pense que cela pourrait être un cheval de Troie.

Mon routeur principal est le seul serveur DHCP valide. Il s'agit de 192.168.0.1, qui offre une plage de 192.160.0.150-199, configurée comme autorisée dans mon AD. Ce DHCP ROGUE prétend provenir de 192.168.0.20 et offrir une adresse IP dans la plage de 10.255.255. *, Ce qui gâte TOUT sur mon réseau à moins que je ne lui attribue une adresse IP statique. 192.168.0.20 n'existe pas sur mon réseau.

Mon réseau est un serveur AD unique sur Windows 2008R2, 3 autres serveurs physiques (1-2008R2 et 2 2012R2) sur 4 ordinateurs virtuels Hypervisor, 3 ordinateurs portables et un ordinateur Windows 7.

Je ne peux pas cingler l'adresse IP non autorisée 192.160.0.20 et je ne la vois pas dans la sortie ARP -A, je ne peux donc pas obtenir son adresse MAC. J'espère que quelqu'un qui lit cet article a déjà rencontré cela.

Dave Stuart
la source
12
Je ne suis d'aucune aide sous Windows, mais si j'étais sous Linux, je prendrais simplement une capture de paquet avec tcpdump sur un client car il obtiendrait un mauvais bail DHCP. La capture de paquets doit avoir l'adresse MAC du système qui a envoyé l'offre. Trace ça.
Yoonix
7
Pouvez-vous débrancher tout et remettre les choses sur le réseau un à la fois?
RS
1
1) Vous pouvez probablement voir le MAC du serveur non autorisé (si le cheval de Troie ne l’a pas changé), et - si vous ne possédez pas de liste des MAC de vos clients - vous pourrez alors le consulter grepplus tôt (encore nettoyer) les journaux DHCP. 2) Si rien d'autre ne fonctionne: branchez la moitié des machines du réseau, vérifiez s'il est toujours là. Ainsi, vous saurez dans quelle moitié se trouve le méchant. Alors la même chose a été trouvée dans la moitié, et ainsi de suite
peterh dit réintégrer Monica
4
Quel routeur? Il se peut que le routeur lui-même soit infecté.
J ...
1
Quel type de commutateur avez-vous? géré ou non géré? Marque? Modèle? En fonction des capacités du commutateur, vous aurez peut-être plus de possibilités pour résoudre le problème.
Raffael Luthiger

Réponses:

53

Sur l'un des clients Windows concernés, démarrez une capture de paquet (Wireshark, Moniteur réseau, Microsoft Message Analyzer, etc.), puis exécutez ipconfig / release à partir d'une invite de commande avec privilèges élevés . Le client DHCP enverra un DHCPRELEASEmessage au serveur DHCP par lequel il a obtenu son adresse IP. Cela devrait vous permettre d’obtenir l’adresse MAC du serveur DHCP non autorisé, que vous pourrez ensuite localiser dans la table d’adresses MAC du commutateur pour déterminer le port du commutateur auquel il est connecté, puis tracer ce port du commutateur jusqu’à la prise réseau et au périphérique branché. dans ça.

joeqwerty
la source
1
Comment afficher l'adresse MAC et les tables ARP d'un commutateur non géré?
Dai
25
@Dai Étape 0: Achetez des commutateurs gérés. Je sais que ce n'est pas toujours une option, mais votre réseau est généralement assez grand pour être rentable ou suffisamment petit pour qu'il ne soit pas difficile de se rendre à chaque machine et de l'interroger.
Oli
1
@Dai Quelle marque et quel modèle sont les commutateurs?
Hagen von Eitzen
19
Si vous avez un commutateur non géré, l’adresse mac vous donne toujours un outil de travail - vous pouvez rechercher le fournisseur afin d’avoir une idée de la marque de matériel à rechercher ET utiliser un outil tel que arping pour lancer une commande rouge vous débranchez les ports du commutateur pour déterminer le port auquel il est connecté.
Michael Kohne
2
Qu'est-ce que @ Oli a dit. Si vous n'avez pas, de nos jours, une infrastructure de commutateur entièrement gérable, votre problème n'est pas que vous ne puissiez pas trouver un serveur DHCP non autorisé. C'est que vous ne trouvez rien .
MadHatter soutient Monica
37

Je l'ai trouvé !! C’était ma caméra réseau D-Link DCS-5030L! Je n'ai aucune idée pourquoi c'est arrivé. C'est comme ça que je l'ai trouvé.

  1. J'ai changé l'adresse IP de mon ordinateur portable en 10.255.255.150/255.255.255.0/10.255.255.1 et le serveur DNS 8.8.8.8 afin que ce soit dans la plage de ce que le dhcp non autorisé produisait.
  2. J'ai ensuite fait un ipconfig / all pour remplir la table ARP.
  3. Est-ce qu'un arp -a a eu pour obtenir une liste des IP dans la table et il y avait l'adresse MAC pour 10.255.255.1 qui est la passerelle du serveur DHCP non autorisé!
  4. J'ai ensuite utilisé Wireless Network Watcher de Nirsoft.net pour pouvoir trouver l'adresse IP réelle du périphérique à partir de l'adresse MAC trouvée. L'adresse IP réelle du serveur Rogue DHCP était 192.168.0.153, qui a été captée de manière dynamique par la caméra.
  5. Je me suis ensuite connecté à la page Web de la caméra et j'ai constaté qu'il était auparavant défini sur 192.168.0.20, qui correspond à l'adresse IP du serveur DHCP rouge.
  6. Ensuite, je l'ai basculé sur une adresse IP statique et l'ai conservé sous le nom 192.160.0.20.

Maintenant je peux continuer ma vie !! Merci à tous pour votre soutien.

Dave Stuart
la source
25
Si votre caméra réseau utilisait un serveur DHCP, je soupçonne qu’elle a été compromise par des logiciels malveillants. Aucune caméra ne fonctionnerait volontairement avec DHCP. Je l'ai consultée dans la documentation de D-Link et il est capable d'exécuter un serveur, mais je serais très surpris qu'il soit configuré de cette manière à dessein. Recherchez les logiciels malveillants, de nombreuses caméras ont été détournées de cette façon.
Zan Lynx
3
Pourquoi dans le monde une caméra réseau aurait-elle un serveur DHCP?
RonJohn
14
@RonJohn afin que vous puissiez accéder à sa page Web de configuration sur un réseau autonome ne disposant pas de serveur DHCP propre. Je conviens que c’est stupide pour un appareil comme celui-là d’avoir un serveur DHCP, mais c’est la raison pour laquelle ils le font.
Moshe Katz
7
@ZanLynx Aucune caméra ne fonctionnerait volontairement avec DHCP ... vous n'avez pas rencontré beaucoup de responsables de génie logiciel vous en ont;)
txtechhelp
18

Faites une recherche binaire.

  1. Débranchez la moitié des câbles
  2. Utiliser le test '/ ipconfig release' s'il est toujours là
  3. Si c'est le cas, déconnectez une autre moitié du reste et passez à 2
  4. Sinon, reconnectez la moitié de la première moitié précédemment déconnectée, déconnectez la seconde moitié et passez à 2

Cela divisera le réseau en deux chaque test successif. Ainsi, si vous avez 1 000 machines, 10 tests peuvent être nécessaires pour trouver le port individuel sur lequel le serveur DHCP est exécuté.

Vous passerez beaucoup de temps à brancher et à débrancher des périphériques, mais cela se limitera au serveur DHCP sans beaucoup d'outils et de techniques supplémentaires, de sorte que cela fonctionnera dans n'importe quel environnement.

Adam Davis
la source
3
Une meilleure façon de faire la recherche de débranchement de commutateur non géré. +1
Todd Wilcox
Je m'attaquerais aux interrupteurs eux-mêmes plutôt qu'aux machines. Cela le réduira assez facilement à un commutateur.
Loren Pechtel
@ LorenPechtel Oui, si vous avez plusieurs commutateurs, l'algorithme binaire peut ne nécessiter que de déconnecter un ou deux câbles pour déconnecter la moitié du réseau.
Adam Davis
17

Vous pourriez juste:

  • Ouvrez le réseau et le centre de partage (depuis le début ou cliquez avec le bouton droit de la souris sur l’icône de la barre des tâches réseau), cliquez sur le lien de connexion bleu -> détails.
  • trouver l'adresse ipv4 dhcp (dans cet exemple, il s'agit de 10.10.10.10)
  • Ouvrez l'invite de commande dans le menu Démarrer.
  • ping cette ping 10.10.10.10adresse IP, par exemple , cela force l’ordinateur à rechercher l’adresse MAC du serveur DHCP et à l’ajouter à la table ARP; sachez que le test Ping peut échouer s’il est bloqué par un pare-feu; cela ne pose aucun problème.
  • faire arp -a| findstr 10.10.10.10. Ceci interroge la table arp pour l'adresse MAC.

Vous verrez quelque chose comme:

10.10.10.10       00-07-32-21-c7-5f     dynamic

L'entrée du milieu est l'adresse MAC.

Recherchez ensuite dans la table des commutateurs MAC / Port conformément à la réponse de joeqwerty, envoyez-la en arrière si vous avez besoin d’aide à cet égard.

Pas besoin d'installer Wirehark.

Aaron Tate
la source
4
L'OP a déclaré qu'il n'était pas en mesure d'envoyer une requête ping à l'adresse IP du serveur DHCP ni de trouver l'adresse MAC dans sa table ARP, c'est pourquoi j'ai posté ma réponse. Votre suggestion aura peut-être du succès, mais votre approche est de loin plus simple et plus directe.
joeqwerty