¿Cómo puedo encontrar servidores DHCP adicionales que un intruso pueda haber instalado en mi red?

tag-icon tag-icon networking wireless-networking router dhcp
¿Cómo puedo encontrar servidores DHCP adicionales que un intruso pueda haber instalado en mi red?

Consulte esta pregunta para conocer los antecedentes: ¿Es posible ocultar la presencia de uno en la lista de clientes DHCP?

nmap encuentra todos los clientes conectados por mí y no he tenido ningún problema en este frente desde que cambié mis contraseñas, etc.

Pero mi enrutador todavía se comporta de manera extraña (se desconecta aleatoriamente, etc.), lo cual no ocurría antes de la intrusión. Así que sospecho que todavía quedan algunos restos de la intrusión. Quizás un servidor DHCP fraudulento como se mencionó en la pregunta anterior.

Pero, ¿cómo encuentro un servidor así? ¿O debería nmap haber encontrado uno si existiera?

PD: Al observar los servicios que se ejecutan en el enrutador, encontré, aparte del TCP/IP normal, un servidor "eDonkey". Esta parece una tecnología completamente obsoleta, por lo que es posible que se envíe con el enrutador (un modelo Belkin N150) de forma predeterminada. ¿O podría ser algo que podría haber utilizado un intruso? Si es así, haré una pregunta por separado sobre cómo apagarlo.

Respuesta1

La forma más sencilla de rastrear servidores DHCP es emitir una solicitud DHCP y observar qué responde.

Esto es más fácil desde una máquina Linux, pero también puedes hacerlo desde una máquina con Windows.

Tanto para Linux como para Windows, puede utilizar Wireshark para monitorear la interfaz relevante filtrada para el puerto udp 67-68.

Para Windows, cambie a una IP estática y luego a una IP DHCP. Esto activará una solicitud dhcp:

netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp

Para Linux, puede (asegúrese de que NetworkManager o cualquier otro servicio de administración de red no se esté ejecutando):

ifconfig eth0 down
ifconfig eth0 up
dhclient eth0

Luego observe lo que sucede en Wirehark. Debería ver que la solicitud DHCP se envía como una transmisión y luego una serie de direcciones IP enviarán una respuesta.

EDonkey es un software para compartir archivos, utilizado a menudo para piratear datos. Hay muy pocas posibilidades de que el proveedor haya instalado o habilitado esto en su enrutador.

Respuesta2

Una aplicación como dhcploc.exe le ayudará a encontrar servidores DHCP ocultos en su red.

Utilidad DHCPLOC en Microsoft Technet

información relacionada