Как найти дополнительные DHCP-серверы, которые могли быть установлены в моей сети злоумышленником?

tag-icon tag-icon networking wireless-networking router dhcp
Как найти дополнительные DHCP-серверы, которые могли быть установлены в моей сети злоумышленником?

Для получения дополнительной информации см. этот вопрос: Можно ли скрыть свое присутствие в списке клиентов DHCP?

nmap находит всех подключенных клиентов, и у меня не возникало никаких проблем на этом фронте с тех пор, как я сменил пароли и т. д.

Но мой маршрутизатор все еще ведет себя странно (отключается случайным образом и т. д.), чего не было до вторжения. Поэтому я подозреваю, что некоторые остатки вторжения все еще остались. Возможно, мошеннический DHCP-сервер, как упоминалось в предыдущем вопросе.

Но как мне найти такой сервер? Или nmap должен был его найти, если бы он существовал?

PS: Просматривая службы, работающие на маршрутизаторе, я обнаружил - помимо обычного TCP/IP - сервер "eDonkey". Это похоже на совершенно устаревшую технологию, так что, возможно, она поставлялась с маршрутизатором (модель Belkin N150) по умолчанию. Или это могло быть чем-то, что мог использовать злоумышленник? Если так, я задам отдельный вопрос о его отключении.

решение1

Самый простой способ отслеживания DHCP-серверов — это отправить DHCP-запрос и посмотреть, что он ответит.

Проще всего это сделать на компьютере с Linux, но это можно сделать и на компьютере с Windows.

Как для Linux, так и для Windows вы можете использовать Wireshark для мониторинга соответствующего интерфейса, отфильтрованного для UDP-порта 67-68.

Для Windows переключитесь на статический ip, затем на dhcp ip. Это вызовет запрос dhcp:

netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp

Для Linux вы можете сделать следующее (убедитесь, что NetworkManager или любые другие службы управления сетью не запущены):

ifconfig eth0 down
ifconfig eth0 up
dhclient eth0

Затем посмотрите, что происходит в Wireshark. Вы должны увидеть, как DHCP-запрос отправляется как широковещательная рассылка, а затем ряд IP-адресов отправляет ответ.

EDonkey — это программное обеспечение для обмена файлами, часто используемое для пиратства данных. Очень маловероятно, что оно было установлено или включено на вашем маршрутизаторе поставщиком.

решение2

Такое приложение, как dhcploc.exe, поможет найти DHCP-серверы, скрывающиеся в вашей сети.

Утилита DHCPLOC на сайте Microsoft Technet

Связанный контент