Falesny DHCP server ?

Petr Baláš petr na balas.cz
Úterý Listopad 10 09:35:29 CET 2015


2015-11-09 21:56 GMT+01:00 Pavel <linux na argonet.cz>:
> Dobry vecer,
>
> resim problem v siti s DHCP serverem. Sit je
> 192.168.200.0/255.255.255.128. V posledni dobe ale nekteri klienti
> dostavaji adresy treba 192.168.200.133 nebo 192.168.200.142, coz je
> jiz mimo moji sit. Ale DNS maji pridelene spravne moje vereje adresy.
> O prideleni techto adres pochopitelne na DHCP v logu neni ani zminka,
> z toho soudim, ze v siti nekdo zapojil obracene router a rozdava tyto
> adresy on. Na klientovi je treba:
>
> IP    192.168.200.133   adresa mimo rozsah moji site
> brana 192.168.200.1     moje brana do internetu
> DNS   verejna IP z moji site
>
> v logu jsou jedine udaje pokud klient znovu zada o prideleni IP:
>
> Nov  9 20:16:15 pisecna dhcpd: DHCPREQUEST for 192.168.200.133 (192.168.1.1) from 94:44:52:f0:4b:a3 via eth1: ignored (not authoritative).
> Nov  9 20:16:52 pisecna dhcpd: DHCPRELEASE of 192.168.200.133 from 94:44:52:f0:4b:a3 via eth1 (not found)
> Nov  9 20:41:28 pisecna dhcpd: DHCPREQUEST for 192.168.200.142 (192.168.1.1) from 74:d4:35:f9:f4:70 via eth1: ignored (not authoritative).
> Nov  9 20:42:12 pisecna dhcpd: DHCPRELEASE of 192.168.200.142 from 74:d4:35:f9:f4:70 via eth1 (not found)
>
> klient si ponecha puvodni adresu. Pokud pingam na branu 192.168.200.1,
> ta je pochopitelne moje a odpovida. Podle logu, ale falesnou IP
> pridelil router 192.168.1.1. Jak muze router pridelovat adresy z jineho
> rozsahu, vetsina routeru za petistovku tohle vubec neumi. Navic sit
> 192.168.1.0 mam na routeru take, ale na druhe sitovce smerem do
> internetu. Je jen kvuli administraci switche, takze ji muzu shodit,
> jestli to necemu pomuze. Kazdopadne se na tuto sit pak nedopingnu,
> takze skodici DHCP server neodpovida.

Nastavte si na nějaké PC natvrdo adresu z rozsahu 192.168.1.x a pak
se na něj pingnete (pokud poběží). Pak máte i jeho MAC adresu (příkaz
arp, funguje i na Win, jen jiné parametry). Z MAC adresy lze odhadnout
výrobce toho routeru - Google - mac address decoder, to se může hodit.
Najít danou MAC v rozhraní switche, nebo si na něj pingat a zároveň
odpojovat kabely a koukat kdy přestane reagovat.



> Resim jestli se neco zblaznilo u me a prideluje muj router adresy mimo
> sit (to mi prijde asi nerealna myslenka), takze hledam skodici router,
> ktery je ale zapojen jen par minut denne a nepodarilo se me ho nikdy
> lokalizovat, nebo ma zakazany ping i web administraci. Kdyz proskenuji
> porty IP 192.168.1.1 nenajdu zadny otevreny. Nevim uz jak dal hledat.
> Nejake napady ?

Aby reagoval ping, webinterface, musíte být na stejném rozsahu sítě.

-- 
Petr Baláš - petr at balas dot cz


Další informace o konferenci Linux