請參閱此問題以了解背景: 是否可以在 DHCP 用戶端清單中隱藏某個人的存在
nmap 為我找到所有連接的客戶端,自從更改密碼等以來,我在這方面沒有遇到任何麻煩。
但我的路由器仍然表現得很奇怪(隨機斷開連接等),這在入侵之前沒有發生。所以我懷疑入侵的一些殘餘仍然存在。也許是上一個問題中提到的流氓 DHCP 伺服器。
但如何找到這樣的伺服器呢?或者如果存在的話 nmap 應該找到一個嗎?
PS:在查看路由器上運行的服務時,我發現 - 除了正常的 TCP/IP 之外 - 一個“eDonkey”伺服器。這似乎是完全過時的技術,因此它可能會預設隨路由器(貝爾金 N150 型號)一起提供。或者它可能是入侵者可以使用的東西?如果是這樣,我會問一個關於關閉它的單獨問題。
答案1
追蹤 DHCP 伺服器最簡單的方法是發出 DHCP 請求並查看回覆內容。
這在 Linux 機器上最簡單,但您也可以在 Windows 機器上完成。
對於linux和Windows,都可以使用wireshark來監控udp埠67-68過濾的相關接口
對於 Windows,切換到靜態 IP,然後切換到 DHCP IP。這將觸發 dhcp 請求:
netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp
對於 Linux,您可以(確保 NetworkManager 或任何其他網路管理服務未執行):
ifconfig eth0 down
ifconfig eth0 up
dhclient eth0
然後觀察wireshark 中會發生什麼。您應該看到 DHCP 請求以廣播形式發出,然後一系列 IP 位址將發送回應。
EDonkey 是檔案共享軟體,通常用於盜版資料。供應商在您的路由器上安裝或啟用此功能的可能性很小。
答案2
dhcploc.exe 等應用程式將協助尋找隱藏在網路上的 DHCP 伺服器。