背景についてはこの質問を参照してください: DHCPクライアントリストから自分の存在を隠すことは可能ですか?
nmap は接続されたすべてのクライアントを検出します。パスワードなどを変更してからは、この点で問題は発生していません。
しかし、私のルーターは侵入前には起こらなかった奇妙な動作(ランダムに切断されるなど)をまだしています。そのため、侵入の痕跡がまだ残っているのではないかと考えています。おそらく、前の質問で述べたように、不正な DHCP サーバーです。
しかし、どうすればそのようなサーバーを見つけられるのでしょうか? あるいは、そのようなサーバーが存在する場合、nmap がそれを見つけるはずですか?
PS: ルーターで実行されているサービスを調べてみると、通常の TCP/IP とは別に、「eDonkey」サーバーが見つかりました。これは完全に時代遅れの技術のようですので、ルーター (Belkin N150 モデル) にデフォルトで付属していた可能性があります。あるいは、侵入者が使用していた可能性がありますか? もしそうなら、シャットダウン方法について別の質問をします。
答え1
DHCP サーバーを追跡する最も簡単な方法は、DHCP 要求を発行して、応答を確認することです。
これは Linux ボックスから行うのが最も簡単ですが、Windows マシンからでも実行できます。
LinuxとWindowsの両方で、Wiresharkを使用して、UDPポート67-68でフィルタリングされた関連インターフェースを監視できます。
Windows の場合は、静的 IP に切り替えてから DHCP IP に切り替えます。これにより、DHCP 要求がトリガーされます。
netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp
Linux の場合は、次の操作を実行できます (NetworkManager またはその他のネットワーク管理サービスが実行されていないことを確認してください)。
ifconfig eth0 down
ifconfig eth0 up
dhclient eth0
次に、Wireshark で何が起こるかを確認します。DHCP 要求がブロードキャストとして送信され、一連の IP アドレスが応答を送信することがわかります。
EDonkey はファイル共有ソフトウェアで、データの海賊版作成によく使用されます。ベンダーによってルーターにインストールまたは有効化されている可能性はほとんどありません。
答え2
dhcploc.exe などのアプリケーションは、ネットワーク上に隠れている DHCP サーバーを見つけるのに役立ちます。