Falesny DHCP server ?

Pavel linux na argonet.cz
Úterý Listopad 10 21:13:18 CET 2015 

Dobry den,

Tuesday, November 10, 2015, 9:35:29 AM, you wrote:

PB> 2015-11-09 21:56 GMT+01:00 Pavel <linux na argonet.cz>:
>> Dobry vecer,
>>
>> resim problem v siti s DHCP serverem. Sit je
>> 192.168.200.0/255.255.255.128. V posledni dobe ale nekteri klienti
>> dostavaji adresy treba 192.168.200.133 nebo 192.168.200.142, coz je
>> jiz mimo moji sit. Ale DNS maji pridelene spravne moje vereje adresy.
>> O prideleni techto adres pochopitelne na DHCP v logu neni ani zminka,
>> z toho soudim, ze v siti nekdo zapojil obracene router a rozdava tyto
>> adresy on. Na klientovi je treba:
>>
>> IP    192.168.200.133   adresa mimo rozsah moji site
>> brana 192.168.200.1     moje brana do internetu
>> DNS   verejna IP z moji site
>>
>> v logu jsou jedine udaje pokud klient znovu zada o prideleni IP:
>>
>> Nov  9 20:16:15 pisecna dhcpd: DHCPREQUEST for 192.168.200.133
>> (192.168.1.1) from 94:44:52:f0:4b:a3 via eth1: ignored (not
>> authoritative).
>> Nov  9 20:16:52 pisecna dhcpd: DHCPRELEASE of 192.168.200.133
>> from 94:44:52:f0:4b:a3 via eth1 (not found)
>> Nov  9 20:41:28 pisecna dhcpd: DHCPREQUEST for 192.168.200.142
>> (192.168.1.1) from 74:d4:35:f9:f4:70 via eth1: ignored (not
>> authoritative).
>> Nov  9 20:42:12 pisecna dhcpd: DHCPRELEASE of 192.168.200.142
>> from 74:d4:35:f9:f4:70 via eth1 (not found)
>>
>> klient si ponecha puvodni adresu. Pokud pingam na branu 192.168.200.1,
>> ta je pochopitelne moje a odpovida. Podle logu, ale falesnou IP
>> pridelil router 192.168.1.1. Jak muze router pridelovat adresy z jineho
>> rozsahu, vetsina routeru za petistovku tohle vubec neumi. Navic sit
>> 192.168.1.0 mam na routeru take, ale na druhe sitovce smerem do
>> internetu. Je jen kvuli administraci switche, takze ji muzu shodit,
>> jestli to necemu pomuze. Kazdopadne se na tuto sit pak nedopingnu,
>> takze skodici DHCP server neodpovida.

PB> Nastavte si na nějaké PC natvrdo adresu z rozsahu 192.168.1.x a pak
PB> se na něj pingnete (pokud poběží). Pak máte i jeho MAC adresu (příkaz
PB> arp, funguje i na Win, jen jiné parametry). Z MAC adresy lze odhadnout
PB> výrobce toho routeru - Google - mac address decoder, to se může hodit.
PB> Najít danou MAC v rozhraní switche, nebo si na něj pingat a zároveň
PB> odpojovat kabely a koukat kdy přestane reagovat.

Fakt uz nevim co hledat. par dalsich testu v siti:

jelikoz mam na svem DHCP serveru povolene jen IP dle MAC, tak cizi PC
nedostane ode me adresu. Takze jsem vzal Win stanici a pripojil na
switch, dostal jsem tyto parametry z falesneho DHCP:

IP           192.168.200.147
maska        255.255.255.0
brana        192.168.200.1
server DHCP  192.168.1.1
oba DNS jsou ale moje verejne IP

ping neodpovida ani na 192.168.1.1. ani na 192.168.200.1. Pritom
192.168.200.1 je muj router, ale pokud dostanu falesnou adresu,
nedopingnu si ani na branu (falesnou) ani na svuj vlastni router.
Aha, to je asi spravne, protoze ja mam masku mensi, takze mam sit jen
do 128, takze vlastni router nemuzu uz v vyssi siti videt.

ve Win na klientovi arp -a vypise pouze toto:
192.168.100.1   00-4f-49-0a-cf-78    dynamicka
192.168.200.1   00-13-d4-af-57-2f    dynamicka

pokud si nastavim rucne na svoji sitovce treba 192.168.1.221

arp -a
192.168.1.1     00-06-4f-01-ff-17    dynamicka
192.168.200.1   00-13-d4-af-57-2f    dynamicka

ping na 192.168.1.1 neodpovida.

Nechapu proc DHCP server je z jine site nez prideleny rozsah, proc se
na branu ani DHCP server nelze dopingnout, proc mi prideluje ale moje
DNS servery. Nemuze jit o nejake sdileni internetu na nejake WIN
stanici nebo jinou ptakovinu, kterou nekdo nekde naklikal ?

Odpojit porty na switchi mohu, ale jak zjistim vysledek je jedine
komunikace na DHCP server a prideleni adres, nepoznam to rychle z
pingu.

Arpingem sem zjistil toto:

ARPING 192.168.1.1 from 192.168.1.100 eth1
Unicast reply from 192.168.1.1 [00:06:4F:01:FF:17]  0.652ms
Unicast reply from 192.168.1.1 [DC:9F:DB:96:0A:4E]  1.959ms
Unicast reply from 192.168.1.1 [00:15:6D:BD:A2:14]  2.446ms
Unicast reply from 192.168.1.1 [00:15:6D:BD:B5:A1]  295.714ms
Unicast reply from 192.168.1.1 [00:80:48:3D:42:AB]  306.488ms

Prvni radek souhlasi s arpem zjistenym z Windows stanice, dalsi 4
radky jsou maskovany MAC radia, za kazdym je nekolik klientu. Takze
stejne nevim jak dal, nechapu proc mi to ukazuje tolik smeru ruznymi
spoji. Jak ted najit ty MAC kde se nachazeji, kdyz skutecna MAC je
maskovana MAC radia ? Prvni MAC vubec netusim ci je a nikde ji nemuzu
najit, ty dalsi jsou spoje, proverim tedy co je za nimi, jiny reseni
me uz nenapada. Zvlastni je, ze se to nechova jako otoceny router
zapojeny LAN ven misto dovnitr. Objevuje se to nahodne a stahne si to
na sebe za den tak 2-3 klienty a po par hodinach zas dostanou korektni
IP.


Dekuji


>> Resim jestli se neco zblaznilo u me a prideluje muj router adresy mimo
>> sit (to mi prijde asi nerealna myslenka), takze hledam skodici router,
>> ktery je ale zapojen jen par minut denne a nepodarilo se me ho nikdy
>> lokalizovat, nebo ma zakazany ping i web administraci. Kdyz proskenuji
>> porty IP 192.168.1.1 nenajdu zadny otevreny. Nevim uz jak dal hledat.
>> Nejake napady ?

PB> Aby reagoval ping, webinterface, musíte být na stejném rozsahu sítě.




-- 
Best regards,
 Pavel                            mailto:linux na argonet.cz

Další informace o konferenci Linux