¿Cómo detectaríamos y localizaríamos un servidor DHCP no autorizado en nuestra red de área local?
Puedes usar un script nmap para localizar un servidor que enviará DHCPOFFER (siempre que esté en tu dominio de difusión):
nmap --script broadcast-dhcp-discover
Esto le dará a DNS el nombre de dominio, su IP, quién lo ofreció, la información de arrendamiento ... todas las cosas divertidas.
También puede incluir una lista de hosts que tienen algo que ver con el puerto 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR]
La respuesta a esto dependerá en gran medida de qué tan bueno sea el software de administración en su red.
Suponiendo que es razonable, yo diría que esto se hará mirando la dirección MAC de los paquetes del servidor malicioso y luego revisando la interfaz de administración de los conmutadores para ver a qué puerto está conectada la dirección MAC. Luego, rastree desde el puerto hasta el puerto físico y vea qué hay conectado ...
Si no tiene forma de asignar desde la dirección MAC - > puerto de conmutador - > puerto físico esto podría ser un poco complicado, especialmente si la persona que ejecuta el servidor no quiere ser encontrada.
Puede hacer un barrido de ping rápido de su red utilizando nmap (nmap -sP -v -n -oA ping_sweep [su red aquí]) que le daría un mapa de direcciones IP a direcciones MAC, luego (asumiendo su el pícaro está encendido allí) usted podría escanear la dirección IP y ver si le dice algo al respecto (por ejemplo, el nombre de la máquina de los puertos SMB) ...
Acabo de encontrar el servidor rogue dhcp en mi casa por el método clásico de prueba y error. Al observar las propiedades de la red, encontré que algunos clientes de dhcp obtuvieron una dirección IP en el rango de 192.168.1.x, en lugar del rango de 192.168.3.x que configuré en mi servidor de dhcp.
Primero sospeché un dev pc que aloja algunas máquinas virtuales; la configuración es compleja y quién sabe que podría haber algún servidor dhcp en una de esas vm's. Simplemente tire del cable de red y vea si ese cliente dhcp ahora obtiene una dirección IP válida. Ninguna mejora, muy mal.
Ahora sospechaba que la televisión "inteligente", es un Samsung y esa marca es conocida por espiar a los espectadores. Tiró de su cable de red. Sin embargo, no hay suerte.
Luego, después de mirar a mi alrededor, pensé en ese pequeño módem ADSL viejo con 4 puertos Ethernet que obtuve hace algunos meses de un amigo para reemplazar un conmutador Ethernet roto. Tiró del cable adaptador de 12 voltios. ¡Bingo! El problema dhcp cliente ahora obtiene una dirección IP válida! También me di cuenta de que los problemas con el dhcp en nuestra casa comenzaron hace un tiempo.
De acuerdo, no era lo suficientemente inteligente como para jugar con herramientas como nmap y / o wiresnark. Pero, ¿Sherlock Holmes no tuvo éxito con la deducción y la inducción?
PS
Con un clip de papel enderezado, realicé un restablecimiento de fábrica en el antiguo módem adsl para que funcionara la contraseña predeterminada de Linksys y deshabilité el servidor dhcp en él.