ローカルエリアネットワーク上の不正なDHCPサーバーをどのように検出して特定しますか?
Nmapスクリプトを使用して、DHCPOFFERを送信するサーバーを見つけることができます(ブロードキャストドメインにある限り)。
nmap --script broadcast-dhcp-discover
これはDNSドメイン名、それを提供したあなたのIP、リース情報を提供します。
ポート67に関係するホストのリストを含めることもできます。
nmap --script broadcast-dhcp-discover -p67 [your network CIDR]
これに対する答えは、ネットワーク上の管理ソフトウェアがどれほど優れているかに大きく依存します。
それが合理的であると仮定すると、不正なサーバーからのパケットのMACアドレスを確認し、スイッチの管理インターフェイスを調べて、そのMACアドレスがどのポートに接続されているかを確認することでこれを行うことができると思います。次に、ポートから物理ポートまでトレースし、何が接続されているかを確認します...
MACアドレス->スイッチポート->物理ポートからマッピングする方法がない場合、特にサーバーを実行している人を見つけたくない場合は、これは少し難しいかもしれません。
Nmap(nmap -sP -v -n -oA ping_sweep [your network here])を使用してネットワークの簡単なpingスイープを行うことができます。これにより、IPアドレスのMACアドレスへのマップが提供されます(不正がオンになっている場合)そこで)IPアドレスをポートスキャンして、それが何かについて教えてくれるかどうかを確認します(例:SMB ports)からのマシン名)...
試行錯誤の古典的な方法で私の家のLANで不正なdhcpサーバーを見つけました。ネットワークのプロパティを見ると、一部のdhcpクライアントが、dhcpサーバーで構成した192.168.3.x範囲ではなく、不正な192.168.1.x範囲のIPアドレスを取得していることがわかりました。
最初に、いくつかの仮想マシンをホストする開発用PCを疑いました。構成は複雑で、これらのvmの1つにdhcpサーバーが存在する可能性があることを知っています。ネットワークケーブルを引っ張って、そのdhcpクライアントが有効なIPアドレスを取得できるかどうかを確認してください。改善なし、悪くない。
今、私は「スマート」テレビ、そのサムスンを疑っていました、そしてそのブランドは視聴者をスパイすることで知られています。ネットワークケーブルを引っ張った。しかし、運はありません。
次に、周りを見回した後、数か月前に友人から壊れたイーサネットスイッチを交換するために入手した、4つのイーサネットポートを備えた小さな古いadslモデムについて考えました。 12ボルトのアダプターケーブルを引っ張った。ビンゴ!問題のdhcpクライアントは有効なIPアドレスを取得します!私たちの家でdhcpの問題が少し前に始まったことにも気付きました。
同意した、私はnmapやWiresnarkなどのツールをいじるほど賢くなかった。しかし、シャーロックホームズは控除と帰納で成功しませんでしたか?
PS
まっすぐに伸ばしたペーパークリップを使って、古いadslモデムを出荷時設定にリセットして、デフォルトのlinksysパスワードを機能させ、dhcpサーバーを無効にしました。
Wiresharkを使用して、要求に対するdhcp応答をリッスンし、スイッチのarpテーブルに移動して、アドレスと場所を見つけることができます。ほとんどの構成可能なスイッチでこれを行うことができます。