Wie kann ich zusätzliche DHCP-Server finden, die möglicherweise von einem Eindringling in meinem Netzwerk installiert wurden?

tag-icon tag-icon networking wireless-networking router dhcp
Wie kann ich zusätzliche DHCP-Server finden, die möglicherweise von einem Eindringling in meinem Netzwerk installiert wurden?

Hintergrundinformationen finden Sie in dieser Frage: Ist es möglich, die eigene Anwesenheit in der DHCP-Clientliste zu verbergen?

nmap findet für mich alle verbundenen Clients und ich hatte diesbezüglich keine Probleme mehr, seit ich meine Passwörter usw. geändert habe.

Aber mein Router verhält sich immer noch seltsam (trennt sich willkürlich usw.), was vor dem Einbruch nicht passiert ist. Ich vermute also, dass noch einige Überreste des Einbruchs vorhanden sind. Vielleicht ein betrügerischer DHCP-Server, wie in der vorherigen Frage erwähnt.

Aber wie finde ich einen solchen Server? Oder hätte nmap einen finden müssen, wenn es ihn gäbe?

PS: Als ich mir die auf dem Router laufenden Dienste ansah, fand ich - abgesehen vom normalen TCP/IP-Ding - einen "eDonkey"-Server. Das scheint eine völlig veraltete Technologie zu sein, also ist es möglich, dass sie standardmäßig mit dem Router (ein Belkin N150-Modell) ausgeliefert wurde. Oder könnte es etwas sein, das ein Eindringling hätte verwenden können? Wenn ja, werde ich eine separate Frage zum Herunterfahren stellen.

Antwort1

Die einfachste Möglichkeit, DHCP-Server zu verfolgen, besteht darin, eine DHCP-Anfrage zu stellen und die Antworten abzuwarten.

Am einfachsten geht das auf einer Linux-Box, aber auch auf einem Windows-Rechner ist es möglich.

Sowohl für Linux als auch für Windows können Sie Wireshark verwenden, um die relevante Schnittstelle zu überwachen, gefiltert nach UDP-Port 67-68

Wechseln Sie unter Windows zu einer statischen IP und dann zu einer DHCP-IP. Dadurch wird eine DHCP-Anforderung ausgelöst:

netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp

Unter Linux können Sie Folgendes tun (stellen Sie sicher, dass NetworkManager oder andere Netzwerkverwaltungsdienste nicht ausgeführt werden):

ifconfig eth0 down
ifconfig eth0 up
dhclient eth0

Beobachten Sie dann, was in Wireshark passiert. Sie sollten sehen, wie die DHCP-Anforderung als Broadcast gesendet wird und anschließend eine Reihe von IP-Adressen eine Antwort sendet.

EDonkey ist eine Filesharing-Software, die häufig zum Datenraub verwendet wird. Es besteht nur eine sehr geringe Wahrscheinlichkeit, dass sie vom Hersteller auf Ihrem Router installiert oder aktiviert wurde.

Antwort2

Eine Anwendung wie dhcploc.exe hilft dabei, in Ihrem Netzwerk versteckte DHCP-Server zu finden.

DHCPLOC-Dienstprogramm auf Microsoft Technet

verwandte Informationen