Rogue DHCP Server kann nicht gefunden werden

44

In den letzten drei bis vier Wochen habe ich versucht, einen falschen DHCP-Server in meinem Netzwerk zu finden, bin jedoch abgestürzt! Es werden IP-Adressen angeboten, die mit meinem Netzwerk nicht kompatibel sind. Daher erhält jedes Gerät, das eine dynamische Adresse benötigt, eine vom Rogue-DHCP, und das Gerät funktioniert dann nicht mehr. Ich brauche Hilfe, um dieses Ding zu finden und zu zerstören! Ich denke, es könnte sich um einen Trojaner handeln.

Mein Hauptrouter ist der einzige gültige DHCP-Server und 192.168.0.1, der einen Bereich von 192.160.0.150-199 bietet. Ich habe diesen in meinem AD als Autorisiert konfiguriert. Dieser ROGUE-DHCP-Server soll von 192.168.0.20 stammen und eine IP-Adresse im Bereich von 10.255.255 anbieten. * Dies bringt ALLES in meinem Netzwerk durcheinander, es sei denn, ich weise ihm eine statische IP-Adresse zu. 192.168.0.20 existiert nicht in meinem Netzwerk.

Mein Netzwerk besteht aus einem einzelnen AD-Server unter Windows 2008R2, 3 weiteren physischen Servern (1-2008R2 und 2 2012R2) mit 4 Hypervisor-VMs, 3 Laptops und einer Windows 7-Box.

Ich kann die IP-Adresse des Rogue 192.160.0.20 nicht anpingen und kann sie in der ARP-A-Ausgabe nicht sehen, sodass ich ihre MAC-Adresse nicht abrufen kann. Ich hoffe, dass jemand, der diesen Beitrag liest, schon einmal darauf gestoßen ist.

Dave Stuart
quelle
12
Ich bin keine Hilfe auf der Windows-Seite, aber wenn ich unter Linux wäre, würde ich einfach eine Paketerfassung mit tcpdump auf einem Client durchführen, da dieser eine schlechte DHCP-Lease erhalten hat. Die Paketerfassung sollte die MAC-Adresse des Systems enthalten, das das Angebot gesendet hat. Verfolge das.
Yoonix
7
Können Sie nacheinander alle Verbindungen trennen und die Geräte wieder in das Netzwerk einbinden?
RS
1
1) Sie können wahrscheinlich die MAC des Rogue-Servers sehen (wenn der Trojaner sie nicht geändert hat), und - wenn Sie keine Liste der MACs Ihrer Clients haben - können grepSie dies in Ihrer früheren Version tun (noch nicht) sauber) DHCP-Protokolle. 2) Wenn nichts anderes funktioniert: Stecke die Hälfte der Maschinen aus dem Netz, überprüfe, ob er noch da ist. Sie werden also wissen, in welcher Hälfte der Bösewicht ist. Dann so das gleiche in der Hälfte gefunden, und so weiter.
user259412
4
Welcher Router? Möglicherweise ist der Router selbst infiziert.
J ...
1
Welche Art von Schalter haben Sie? verwaltet oder nicht verwaltet? Marke? Modell? Abhängig von den Funktionen des Switches haben Sie möglicherweise weitere Möglichkeiten, um das Problem zu lösen.
Raffael Luthiger

Antworten:

53

Starten Sie auf einem der betroffenen Windows-Clients eine Paketerfassung (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer usw.) und führen Sie dann an einer Eingabeaufforderung mit erhöhten Rechten ipconfig / release aus . Der DHCP-Client sendet eine DHCPRELEASENachricht an den DHCP-Server, von dem er seine IP-Adresse erhalten hat. Auf diese Weise können Sie die MAC-Adresse des nicht autorisierten DHCP-Servers abrufen, die Sie in Ihrer Switch-MAC-Adresstabelle nachverfolgen können, um herauszufinden, an welchen Switch-Port er angeschlossen ist, und diesen Switch-Port zur Netzwerkbuchse und zum angeschlossenen Gerät zurückverfolgen hinein.

Joeqwerty
quelle
1
Wie kann ich die MAC-Adresse und ARP-Tabellen eines nicht verwalteten Switch anzeigen?
Dai
25
@Dai Schritt 0: Verwaltete Switches kaufen. Ich weiß, dass dies nicht immer eine Option ist, aber normalerweise ist Ihr Netzwerk entweder groß genug, um es wert zu machen, oder klein genug, dass es keine schwere Aufgabe wäre, zu jeder Maschine zu gehen und sie abzufragen.
Oli
1
@Dai Welche Marke und welches Modell ist der Schalter?
Hagen von Eitzen
19
Wenn Sie einen unmanaged Switch haben, noch die MAC - Adresse gibt Ihnen etwas Arbeit mit - Sie suchen können Anbieter , so dass Sie eine Idee haben , welche Marke von Hardware zu suchen, und können Sie ein Tool verwenden , wie arping das Rouge ping während Sie trennen die Switch-Ports, um herauszufinden, an welchen Port sie angeschlossen sind.
Michael Kohne
2
Was hat @Oli gesagt? Wenn Sie heutzutage nicht über eine vollständig verwaltbare Switch-Infrastruktur verfügen, besteht das Problem nicht darin, dass Sie keinen falschen DHCP-Server finden können. Es ist , dass Sie nicht finden können alles .
MadHatter unterstützt Monica
37

Fand es!! Es war meine DCS-5030L D-Link-Netzwerkkamera! Ich habe keine Ahnung, warum das passiert ist. So habe ich es gefunden.

  1. Ich habe die IP-Adresse meines Laptops in 10.255.255.150/255.255.255.0/10.255.255.1 und auf dem DNS-Server 8.8.8.8 geändert, sodass sie in dem Bereich liegt, in dem der falsche DHCP-Server ausgegeben hat.
  2. Ich habe dann eine ipconfig / all durchgeführt, um die ARP-Tabelle zu füllen.
  3. Habe ein arp -a gemacht um eine Liste der IP's in der Tabelle zu bekommen und es gab die MAC Adresse für 10.255.255.1 welche das Gateway des Rogue DHCP Servers ist!
  4. Ich habe dann Wireless Network Watcher von Nirsoft.net verwendet, um die ECHTE IP-Adresse des Geräts anhand der gefundenen MAC-Adresse zu ermitteln. Die tatsächliche IP des Rogue DHCP war 192.168.0.153, die von der Kamera dynamisch erfasst wurde.
  5. Ich habe mich dann auf der Kamera-Webseite angemeldet und festgestellt, dass die zuvor auf 192.168.0.20 festgelegte IP-Adresse des Rouge-DHCP-Servers lautet.
  6. Dann habe ich es auf eine statische IP umgestellt und als 192.160.0.20 beibehalten.

Jetzt kann ich mit meinem Leben weitermachen !! Vielen Dank an alle für die Unterstützung.

Dave Stuart
quelle
25
Wenn auf Ihrer Netzwerkkamera ein DHCP-Server ausgeführt wurde, wurde er vermutlich mit Malware infiziert. Keine Kamera würde absichtlich DHCP ausführen. Ich habe es in der D-Link-Dokumentation nachgeschlagen und es kann zwar einen Server ausführen, aber ich wäre sehr überrascht, wenn es absichtlich so konfiguriert wäre. Überprüfen Sie es auf Malware, viele Kameras wurden auf diese Weise entführt.
Zan Lynx
3
Warum in aller Welt hätte eine Netzwerkkamera einen DHCP-Server ???
RonJohn
14
@RonJohn, damit Sie auf die Konfigurationswebseite in einem eigenständigen Netzwerk zugreifen können, das keinen eigenen DHCP-Server hat. Ich bin damit einverstanden, dass es dumm ist, für ein solches Gerät einen DHCP-Server zu haben, aber das ist der Grund, warum sie das tun.
Moshe Katz
7
@ ZanLynx Keine Kamera würde absichtlich DHCP ausführen ... Sie haben nicht viele Software-Engineering-Manager kennengelernt;)
txtechhelp
18

Führe eine binäre Suche durch.

  1. Trennen Sie die Hälfte der Kabel
  2. Testen Sie mit '/ ipconfig release', ob es noch vorhanden ist
  3. Wenn ja, trennen Sie eine weitere Hälfte der verbleibenden und gehen Sie zu 2
  4. Wenn nicht, schließen Sie die Hälfte der zuvor getrennten ersten Hälfte wieder an, trennen Sie die zweite Hälfte und gehen Sie zu 2

Dadurch wird das Netzwerk in zwei aufeinanderfolgende Tests unterteilt. Wenn Sie also über 1.000 Computer verfügen, können Sie bis zu 10 Tests durchführen, um den einzelnen Port zu ermitteln, auf dem der DHCP-Server ausgeführt wird.

Sie werden viel Zeit damit verbringen, Geräte anzuschließen und abzuziehen, aber es wird ohne viele zusätzliche Tools und Techniken auf den DHCP-Server beschränkt, sodass es in jeder Umgebung funktioniert.

Adam Davis
quelle
3
Eine bessere Möglichkeit, die Suche nach nicht verwalteten Switches durchzuführen. +1
Todd Wilcox
Ich würde mich eher um die Schalter kümmern als um die Maschinen. Das wird es ziemlich leicht auf einen Schalter eingrenzen.
Loren Pechtel
@LorenPechtel Ja, wenn Sie über mehrere Switches verfügen, muss der Binäralgorithmus möglicherweise nur ein oder zwei Kabel abtrennen, um die Hälfte des Netzwerks zu trennen.
Adam Davis
17

Sie könnten nur:

  • Öffnen Sie das Netzwerk- und Freigabecenter (entweder von Anfang an oder klicken Sie mit der rechten Maustaste auf das Symbol in der Taskleiste) und klicken Sie auf den blauen Verbindungslink -> Details.
  • Finde die IPv4-DHCP-Adresse (in diesem Beispiel ist es der 10.10.10.10)
  • Öffnen Sie die Eingabeaufforderung über das Startmenü.
  • Pingen Sie diese IP- ping 10.10.10.10Adresse, damit der Computer die MAC-Adresse des DHCP-Servers abruft und diese zur ARP-Tabelle hinzufügt. Beachten Sie, dass der Ping möglicherweise fehlschlägt, wenn eine Firewall die IP-Adresse blockiert. Dies ist in Ordnung und verursacht keine Probleme.
  • zu tun arp -a| findstr 10.10.10.10. Dies fragt die Arp-Tabelle nach der MAC-Adresse ab.

Du wirst etwas sehen wie:

10.10.10.10       00-07-32-21-c7-5f     dynamic

Der mittlere Eintrag ist die MAC-Adresse.

Dann schauen Sie in der MAC / Port-Tabelle der Switches nach, wie in der Antwort von joeqwerty angegeben, und senden Sie eine E-Mail, wenn Sie dabei Hilfe benötigen.

Wireshark muss nicht installiert werden.

Aaron Tate
quelle
4
Das OP sagte, er könne die IP-Adresse des DHCP-Servers nicht anpingen und die MAC-Adresse nicht in seiner ARP-Tabelle finden, weshalb ich meine Antwort gepostet habe. Er kann mit Ihrem Vorschlag Erfolg haben oder auch nicht, aber Ihr Ansatz ist bei weitem einfacher und unkomplizierter.
Joeqwerty