Falesny DHCP server ?

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Úterý Listopad 10 01:42:15 CET 2015 

On Tue, 10 Nov 2015, Pavel wrote:

> MP> switche mas manageovatelne
> Je tam 3COM Switch 3226
>
> MP> a poznas dle MAC DHCP serveru z ARP na kterem portu switche ti
> MP> sedi?
> To nevim kde zjistit :-(

Co nevíte? Najít MAC v ARP nebo najít port k MAC?

Co se týče prvního problému, o tom je něco níže.

Co se týče druhého, tak ten switch má podle všeho CLI i webové rozhraní a 
v manuálu je určitě napsáno, jak zobrazit tabulku adres a určit port, na 
kterém se konkrétní MAC adresa vyskytuje.

(Přes SNMP by to asi také šlo přečíst, ale bez programu, který umí 
příslušný MIB přežvýkat, je to dost nešikovné.)


On Tue, 10 Nov 2015, Pavel wrote:

> AP> Ten log je z DHCP serveru? MAC adresy sedi? Jste si jist, ze udaj v 
> AP> zavorce je server, ze ktereho IP pochazi? Mate dhcpd omezen pouze na 
> AP> prislusny interface?
> Ano je to z linuxoveho stroje z DHCP serveru. Co by v zavorce bylo za
> udaj ? U korektnich radku je tam verejna IP meho DHCP serveru. [...]

V závorce je údaj nalezený v opšně DHCP server identifier tak, jak to tam 
dal klient.

Je celkem pravděpodobné, že je to IP adresa, kterou považuje za vlastní 
ten podvratný DHCP server.

> AP> Pusste si tcpdump a cekejte na DHCP... pak musite hledat MAC.
> Zatim se me nikdy nepodarilo to najit, nebo presne vyspecifikovat, co
> ma ukladat, abych to tam videl.

Možná něco jako

   tcpdump -e -i eth1 not src host 192.168.200.1 and udp src port 67

ale budete možná muset čekat, než se ten server prozradí vysláním nějakého 
broadcastu. Přímočařejší může být rovnou zkusit tu předpokládanou IP 
adresu vydráždit arpingem

   arping -I eth1 192.168.1.1

a možná se hned dozvíte, jakou má MAC. Ale možná také ne. Třetí možnost je 
ta, že na nějakém počítači v té síti spustíte svého DHCP klienta a budete 
poslouchat přímo na něm.

Kdyby to dělal někdo chytrý, tak by se mohl různě maskovat, ale většina 
takový incidentů je spíš výsledek něčí blbosti než vyloženě zlého úmyslu.

Nebo můžete použít systém, kterým se za války hledaly ilegální vysílačky. 
Postupně vypínejte jeden port za druhým, až to přestane. :)


-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"

Další informace o konferenci Linux