배경은 다음 질문을 참조하세요. DHCP 클라이언트 목록에서 자신의 존재를 숨길 수 있습니까?
nmap은 연결된 모든 클라이언트를 찾아주고, 비밀번호 등을 변경한 이후로는 이 문제에 아무런 문제도 겪지 않았습니다.
하지만 내 라우터는 침입 전에는 발생하지 않았던 이상한 동작(무작위로 연결 끊김 등)을 여전히 유지하고 있습니다. 그래서 나는 침입의 일부 잔재가 여전히 남아 있다고 의심합니다. 이전 질문에서 언급한 것처럼 불량 DHCP 서버일 수도 있습니다.
그런데 그런 서버를 어떻게 찾나요? 아니면 nmap이 존재한다면 이를 찾았어야 합니까?
추신: 라우터에서 실행되는 서비스를 살펴보면서 일반적인 TCP/IP 외에 "eDonkey" 서버를 발견했습니다. 이것은 완전히 오래된 기술처럼 보이므로 기본적으로 라우터(Belkin N150 모델)와 함께 제공될 가능성이 있습니다. 아니면 침입자가 사용할 수 있는 것일 수도 있습니까? 그렇다면 종료에 관해 별도로 질문하겠습니다.
답변1
DHCP 서버를 추적하는 가장 간단한 방법은 DHCP 요청을 발행하고 응답을 확인하는 것입니다.
이는 Linux 상자에서 가장 쉽지만 Windows 시스템에서도 수행할 수 있습니다.
Linux와 Windows 모두에서 Wireshark를 사용하여 UDP 포트 67-68에 대해 필터링된 관련 인터페이스를 모니터링할 수 있습니다.
Windows의 경우 고정 IP로 전환한 다음 DHCP IP로 전환하세요. 그러면 dhcp 요청이 트리거됩니다.
netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp
Linux의 경우 다음을 수행할 수 있습니다(NetworkManager 또는 기타 네트워크 관리 서비스가 실행되고 있지 않은지 확인).
ifconfig eth0 down
ifconfig eth0 up
dhclient eth0
그런 다음 Wireshark에서 무슨 일이 일어나는지 지켜보십시오. DHCP 요청이 브로드캐스트로 내보내지면 일련의 IP 주소가 응답을 보내는 것을 볼 수 있습니다.
EDonkey는 파일 공유 소프트웨어로, 데이터 불법 복제에 자주 사용됩니다. 공급업체가 라우터에 이를 설치하거나 활성화할 가능성은 거의 없습니다.
답변2
dhcploc.exe와 같은 응용 프로그램은 네트워크에 숨어 있는 DHCP 서버를 찾는 데 도움을 줍니다.