No se puede encontrar el servidor DHCP rebelde

44

¡Durante las últimas 3-4 semanas he estado tratando de encontrar un servidor DHCP falso en mi red, pero me he quedado perplejo! Está ofreciendo direcciones IP que no funcionan con mi red, por lo que cualquier dispositivo que necesite una dirección dinámica está obteniendo una del Rogue DHCP y luego ese dispositivo deja de funcionar. ¡Necesito ayuda para encontrar y destruir esta cosa! Creo que podría ser un troyano de algún tipo.

Mi enrutador principal es el único servidor DHCP válido y es 192.168.0.1 que ofrece un rango de 192.160.0.150-199, y tengo esto configurado en mi AD como autorizado. Este DHCP ROGUE afirma que proviene de 192.168.0.20 y ofrece una dirección IP en el rango de 10.255.255. * Que está estropeando TODO en mi red a menos que le asigne una dirección IP estática. 192.168.0.20 no existe en mi red.

Mi red es un único servidor AD en Windows 2008R2, otros 3 servidores físicos (1-2008R2 y 2 2012R2) sobre 4 máquinas virtuales Hypervisor, 3 computadoras portátiles y una caja de Windows 7.

No puedo hacer ping a la IP no autorizada 192.160.0.20, y no puedo verla en la salida ARP-A, por lo que no puedo obtener su dirección MAC. Espero que alguien que lea esta publicación haya encontrado esto antes.

Dave Stuart
fuente
12
No soy de ayuda en el lado de Windows, pero si estuviera en Linux, simplemente tomaría una captura de paquetes con tcpdump en un cliente, ya que obtuvo un mal arrendamiento de dhcp. La captura de paquetes debe tener la dirección mac del sistema que envió la oferta. Traza eso.
yoonix
77
¿Puedes desconectar todo y volver a poner las cosas en la red de una en una?
RS
1
1) Es probable que pueda ver el MAC del servidor falso (si el troyano no lo cambió) y, si no tiene una lista de los MAC de sus clientes, puede grephacerlo en su versión anterior (aún limpiar) registros de DHCP. 2) Si nada más funciona: desconecte la mitad de las máquinas de la red, verifique si todavía está aquí. Entonces sabrás en qué mitad está el malo. Entonces lo mismo en la mitad encontrada, y así sucesivamente.
Peter dice reinstalar a Mónica el
44
¿Qué enrutador? Puede ser que el enrutador esté infectado.
J ...
1
¿Qué tipo de interruptor tienes? gestionado o no gestionado? ¿Marca? ¿Modelo? Dependiendo de las capacidades del interruptor, es posible que tenga más posibilidades de resolver el problema.
Raffael Luthiger

Respuestas:

53

En uno de los clientes de Windows afectados, inicie una captura de paquetes (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, etc.), luego, desde un símbolo del sistema elevado, ejecute ipconfig / release . El cliente DHCP enviará un DHCPRELEASEmensaje al servidor DHCP del que obtuvo su dirección IP. Esto debería permitirle obtener la dirección MAC del servidor DHCP falso, que luego puede rastrear en la tabla de direcciones MAC del conmutador para averiguar a qué puerto del conmutador está conectado, luego rastrear ese puerto del conmutador al conector de red y el dispositivo enchufado en ello.

joeqwerty
fuente
1
¿Cómo puedo ver la dirección MAC y las tablas ARP de un conmutador no administrado?
Dai
25
@Dai Paso 0: Compre conmutadores administrados. Sé que no siempre es una opción, pero generalmente su red es lo suficientemente grande como para que valga la pena o lo suficientemente pequeña como para que no sea un trabajo difícil caminar hasta cada máquina e interrogarla.
Oli
1
@Dai ¿Qué marca y modelo es el interruptor?
Hagen von Eitzen
19
Si tiene un conmutador no administrado, la dirección MAC aún le da algo con lo que trabajar: puede buscar el proveedor para tener una idea de qué marca de hardware buscar, Y puede usar una herramienta como arping para hacer ping al rouge mientras desconecta los puertos del conmutador para determinar a qué puerto está conectado.
Michael Kohne
2
Lo que dijo @Oli. Si no tiene, hoy en día, una infraestructura de conmutador totalmente manejable, su problema no es que no pueda encontrar un servidor DHCP falso. Es que no puedes encontrar nada .
MadHatter apoya a Monica el
37

¡¡Lo encontré!! ¡Era mi cámara de red DCS-5030L D-Link! No tengo idea de por qué sucedió esto. Así es como lo encontré.

  1. Cambié la dirección IP de mi computadora portátil a 10.255.255.150/255.255.255.0/10.255.255.1 y el servidor DNS 8.8.8.8 para que estuviera en el rango de lo que el dhcp falso estaba distribuyendo.
  2. Luego hice un ipconfig / all para llenar la tabla ARP.
  3. ¡Hice un arp -a para obtener una lista de las IP en la tabla y estaba la dirección MAC para 10.255.255.1 que es la puerta de enlace del servidor DHCP falso!
  4. Luego utilicé Wireless Network Watcher de Nirsoft.net para poder encontrar la dirección IP REAL del dispositivo desde la dirección MAC que encontré. La IP real del Rogue DHCP era 192.168.0.153, que la cámara recogió dinámicamente.
  5. Luego inicié sesión en la página web de la cámara y vi que estaba configurada previamente en 192.168.0.20, que era la dirección IP del servidor DHCP Rouge.
  6. Luego lo cambié a una IP estática y lo mantuve como 192.160.0.20.

¡Ahora puedo seguir con mi vida! Gracias a todos por el apoyo.

Dave Stuart
fuente
25
Si su cámara de red ejecutaba un servidor DHCP, sospecho que se ha visto comprometido con malware. Ninguna cámara ejecutaría DHCP a propósito. Lo busqué en la documentación de D-Link y tiene la capacidad de ejecutar un servidor, pero me sorprendería mucho si se configurara de esa manera a propósito. Verifique si hay malware, muchas cámaras han sido secuestradas de esa manera.
Zan Lynx
3
¿Por qué en el mundo una cámara de red tendría un servidor DHCP?
RonJohn
14
@RonJohn para que pueda acceder a su página web de configuración en una red independiente que no tiene un servidor DHCP propio. Estoy de acuerdo en que es estúpido que un dispositivo como ese tenga un servidor DHCP, pero esa es la razón por la que lo hacen.
Moshe Katz
77
@ZanLynx Ninguna cámara ejecutaría DHCP a propósito ... no has conocido a muchos gerentes de ingeniería de software, ¿verdad?)
txtechhelp
18

Haz una búsqueda binaria.

  1. Desconecte la mitad de los cables.
  2. Usando la prueba '/ ipconfig release' si todavía está allí
  3. Si es así, desconecte otra mitad del resto y pase a 2
  4. Si no, vuelva a conectar la mitad de la primera mitad desconectada previamente, desconecte la segunda mitad y pase a 2

Esto dividirá la red en dos pruebas sucesivas, por lo que si tiene 1,000 máquinas, puede tomar hasta 10 pruebas para encontrar el puerto individual en el que se ejecuta el servidor DHCP.

Pasará mucho tiempo conectando y desconectando dispositivos, pero lo reducirá al servidor dhcp sin muchas herramientas y técnicas adicionales, por lo que funcionará en cualquier entorno.

Adam Davis
fuente
3
Una mejor manera de hacer el cambio no administrado desconecta la búsqueda. +1
Todd Wilcox
Yo iría por los interruptores en lugar de las máquinas. Eso lo reducirá a un interruptor con bastante facilidad.
Loren Pechtel
@LorenPechtel sí, si tiene varios conmutadores, entonces el algoritmo binario solo puede requerir desconectar uno o dos cables para desconectar la mitad de la red.
Adam Davis
17

Podrías simplemente:

  • Abra el centro de redes y recursos compartidos (ya sea desde el inicio o haga clic derecho en el icono de la bandeja de red), haga clic en el enlace de conexión azul -> detalles.
  • encuentre la dirección ipv4 dhcp (en este ejemplo es 10.10.10.10)
  • Abra el símbolo del sistema desde el menú de inicio.
  • ping esa ip ping 10.10.10.10, por ejemplo , esto obliga a la computadora a buscar la dirección MAC del servidor dhcp y agregarla a la tabla ARP, tenga en cuenta que el ping puede fallar si hay un firewall bloqueándolo, esto está bien y no causará problemas.
  • hacer arp -a| findstr 10.10.10.10. Esto consulta la tabla arp para la dirección MAC.

Verás algo como:

10.10.10.10       00-07-32-21-c7-5f     dynamic

La entrada del medio es la dirección MAC.

Luego búsquelo en la tabla MAC / Port del conmutador según la respuesta de joeqwerty, publique de nuevo si necesita ayuda con eso.

No es necesario instalar wireshark.

Aaron Tate
fuente
44
El OP dijo que no pudo hacer ping a la dirección IP del servidor DHCP y que no pudo encontrar la dirección MAC en su tabla ARP, por lo que publiqué mi respuesta. Puede o no tener éxito con su sugerencia, pero la suya es, con mucho, un enfoque más simple y directo.
joeqwerty