Come potremmo rilevare e localizzare un server DHCP canaglia sulla nostra rete locale?
Puoi usare uno script nmap per localizzare un server che invierà DHCPOFFER (purché si trovi nel tuo dominio di broadcast):
nmap --script broadcast-dhcp-discover
Questo fornirà il nome di dominio DNS, il tuo IP, chi l'ha offerto, le informazioni di locazione ... tutte cose divertenti.
Puoi anche includere un elenco di host che hanno qualcosa a che fare con la porta 67:
nmap --script broadcast-dhcp-discover -p67 [your network CIDR]
La risposta a questo dipenderà in gran parte dalla bontà del software di gestione sulla rete.
Supponendo che sia ragionevole, direi che questo wold sarà fatto controllando l'indirizzo MAC dei pacchetti dal server canaglia e quindi rivedendo l'interfaccia di gestione per i tuoi switch per vedere a quale porta è collegato l'indirizzo MAC. Quindi traccia dalla porta alla porta fisica e vedi cosa è connesso ...
Se non hai modo di mappare dall'indirizzo MAC - > cambia porta - > porta fisica potrebbe essere un po 'complicato, specialmente se la persona che esegue il server non vuole essere trovata.
Potresti fare un rapido ping della tua rete usando nmap (nmap -sP -v -n -oA ping_sweep [la tua rete qui]) che ti darebbe una mappa degli indirizzi IP agli indirizzi MAC, quindi (assumendo il tuo rogue is on there) è possibile effettuare una scansione port sull'indirizzo IP e vedere se vi dice qualcosa (ad es. il nome del computer dalle porte SMB) ...
Ho appena trovato il server dhcp canaglia sulla mia LAN domestica con il classico metodo di tentativi ed errori. Guardando le proprietà della rete ho scoperto che alcuni client DHCP hanno ottenuto un indirizzo IP nell'intervallo cangiante 192.168.1.x anziché nell'intervallo 192.168.3.x che ho configurato nel mio server DHCP.
Per prima cosa ho sospettato un pc di sviluppo che ospita alcune macchine virtuali; la configurazione è complessa e chi sa che potrebbe esserci qualche server DHCP in uno di quei VM. Basta tirare il cavo di rete e vedere se quel client dhcp ora ottiene un indirizzo IP valido. Nessun miglioramento, peccato.
Ora sospettavo che la tv "intelligente" fosse una Samsung e che il marchio fosse noto per spiare gli spettatori. Tirato il suo cavo di rete. Nessuna fortuna, però.
Poi, dopo aver guardato in giro, ho pensato a quel piccolo vecchio modem adsl con 4 porte Ethernet che ho ricevuto alcuni mesi fa da un amico per sostituire uno switch ethernet danneggiato. Tirato il cavo adattatore da 12 volt. Bingo! Il problema con il client dhcp ora ottiene un indirizzo IP valido! Mi sono anche reso conto che il problema di dhcp in casa nostra è iniziato da poco.
D'accordo, non ero abbastanza intelligente da giocare con strumenti come nmap e / o wiresNark. Ma Sherlock Holmes non ha avuto successo con Deduction and Induction?
PS
Con una graffetta raddrizzata ho fatto un reset di fabbrica sul vecchio modem adsl per far funzionare la password predefinita di linksys e ho disabilitato il server dhcp su di esso.
Puoi usare wireshark per ascoltare le risposte DHCP alle richieste, quindi andare alla tabella arp dello switch per trovare l'indirizzo e la posizione. Puoi farlo con la maggior parte degli switch configurabili.