Como posso encontrar servidores DHCP adicionais que possam ter sido instalados na minha rede por um intruso?

tag-icon tag-icon networking wireless-networking router dhcp
Como posso encontrar servidores DHCP adicionais que possam ter sido instalados na minha rede por um intruso?

Veja esta pergunta para obter informações básicas: É possível ocultar a presença da lista de clientes DHCP

O nmap encontra todos os clientes conectados para mim, e não tive nenhum problema nesse aspecto desde que alterei minhas senhas, etc.

Mas meu roteador ainda se comporta de maneira estranha (desconectando-se aleatoriamente, etc.), o que não acontecia antes da intrusão. Portanto, suspeito que ainda restam alguns vestígios da intrusão. Talvez um servidor DHCP não autorizado, conforme mencionado na pergunta anterior.

Mas como encontro esse servidor? Ou o nmap deveria ter encontrado um, se existisse?

PS: Ao observar os serviços em execução no roteador, encontrei - além do TCP/IP normal - um servidor "eDonkey". Parece uma tecnologia completamente desatualizada, então é possível que seja fornecida com o roteador (um modelo Belkin N150) por padrão. Ou poderia ser algo que um intruso poderia ter usado? Nesse caso, farei uma pergunta separada sobre como desligá-lo.

Responder1

A maneira mais simples de rastrear servidores DHCP é emitir uma solicitação DHCP e ver quais respostas.

Isso é mais fácil em uma máquina Linux, mas você também pode fazer isso em uma máquina Windows.

Tanto para Linux quanto para Windows, você pode usar o wireshark para monitorar a interface relevante filtrada para a porta udp 67-68

Para Windows, mude para um ip estático e depois para um ip dhcp. Isso irá acionar uma solicitação DHCP:

netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp

Para Linux, você pode (certificar-se de que o NetworkManager ou qualquer outro serviço de gerenciamento de rede não esteja em execução):

ifconfig eth0 down
ifconfig eth0 up
dhclient eth0

Então observe o que acontece no wireshark. Você deverá ver a solicitação DHCP saindo como uma transmissão e, em seguida, uma série de endereços IP enviará uma resposta.

EDonkey é um software de compartilhamento de arquivos, frequentemente usado para pirataria de dados. Há muito pouca chance de que isso tenha sido instalado ou habilitado em seu roteador pelo fornecedor.

Responder2

Um aplicativo como dhcploc.exe ajudará a encontrar servidores DHCP ocultos em sua rede.

Utilitário DHCPLOC no Microsoft Technet

informação relacionada