Falesny DHCP server ?

Petr Baláš petr na balas.cz
Úterý Listopad 10 21:33:08 CET 2015 

2015-11-10 21:13 GMT+01:00 Pavel <linux na argonet.cz>:
> Dobry den,
>
> Tuesday, November 10, 2015, 9:35:29 AM, you wrote:
>
> PB> 2015-11-09 21:56 GMT+01:00 Pavel <linux na argonet.cz>:
>>> Dobry vecer,
>>>
>>> resim problem v siti s DHCP serverem. Sit je
>>> 192.168.200.0/255.255.255.128. V posledni dobe ale nekteri klienti
>>> dostavaji adresy treba 192.168.200.133 nebo 192.168.200.142, coz je
>>> jiz mimo moji sit. Ale DNS maji pridelene spravne moje vereje adresy.
>>> O prideleni techto adres pochopitelne na DHCP v logu neni ani zminka,
>>> z toho soudim, ze v siti nekdo zapojil obracene router a rozdava tyto
>>> adresy on. Na klientovi je treba:
>>>
>>> IP    192.168.200.133   adresa mimo rozsah moji site
>>> brana 192.168.200.1     moje brana do internetu
>>> DNS   verejna IP z moji site
>>>
>>> v logu jsou jedine udaje pokud klient znovu zada o prideleni IP:
>>>
>>> Nov  9 20:16:15 pisecna dhcpd: DHCPREQUEST for 192.168.200.133
>>> (192.168.1.1) from 94:44:52:f0:4b:a3 via eth1: ignored (not
>>> authoritative).
>>> Nov  9 20:16:52 pisecna dhcpd: DHCPRELEASE of 192.168.200.133
>>> from 94:44:52:f0:4b:a3 via eth1 (not found)
>>> Nov  9 20:41:28 pisecna dhcpd: DHCPREQUEST for 192.168.200.142
>>> (192.168.1.1) from 74:d4:35:f9:f4:70 via eth1: ignored (not
>>> authoritative).
>>> Nov  9 20:42:12 pisecna dhcpd: DHCPRELEASE of 192.168.200.142
>>> from 74:d4:35:f9:f4:70 via eth1 (not found)
>>>
>>> klient si ponecha puvodni adresu. Pokud pingam na branu 192.168.200.1,
>>> ta je pochopitelne moje a odpovida. Podle logu, ale falesnou IP
>>> pridelil router 192.168.1.1. Jak muze router pridelovat adresy z jineho
>>> rozsahu, vetsina routeru za petistovku tohle vubec neumi. Navic sit
>>> 192.168.1.0 mam na routeru take, ale na druhe sitovce smerem do
>>> internetu. Je jen kvuli administraci switche, takze ji muzu shodit,
>>> jestli to necemu pomuze. Kazdopadne se na tuto sit pak nedopingnu,
>>> takze skodici DHCP server neodpovida.
>
> PB> Nastavte si na nějaké PC natvrdo adresu z rozsahu 192.168.1.x a pak
> PB> se na něj pingnete (pokud poběží). Pak máte i jeho MAC adresu (příkaz
> PB> arp, funguje i na Win, jen jiné parametry). Z MAC adresy lze odhadnout
> PB> výrobce toho routeru - Google - mac address decoder, to se může hodit.
> PB> Najít danou MAC v rozhraní switche, nebo si na něj pingat a zároveň
> PB> odpojovat kabely a koukat kdy přestane reagovat.
>
> Fakt uz nevim co hledat. par dalsich testu v siti:
>
> jelikoz mam na svem DHCP serveru povolene jen IP dle MAC, tak cizi PC
> nedostane ode me adresu. Takze jsem vzal Win stanici a pripojil na
> switch, dostal jsem tyto parametry z falesneho DHCP:
>
> IP           192.168.200.147
> maska        255.255.255.0
> brana        192.168.200.1
> server DHCP  192.168.1.1
> oba DNS jsou ale moje verejne IP
>
> ping neodpovida ani na 192.168.1.1. ani na 192.168.200.1. Pritom
> 192.168.200.1 je muj router, ale pokud dostanu falesnou adresu,
> nedopingnu si ani na branu (falesnou) ani na svuj vlastni router.
> Aha, to je asi spravne, protoze ja mam masku mensi, takze mam sit jen
> do 128, takze vlastni router nemuzu uz v vyssi siti videt.
>
> ve Win na klientovi arp -a vypise pouze toto:
> 192.168.100.1   00-4f-49-0a-cf-78    dynamicka
> 192.168.200.1   00-13-d4-af-57-2f    dynamicka
>
> pokud si nastavim rucne na svoji sitovce treba 192.168.1.221
>
> arp -a
> 192.168.1.1     00-06-4f-01-ff-17    dynamicka
> 192.168.200.1   00-13-d4-af-57-2f    dynamicka

http://aruljohn.com/mac/00064F01FF17
http://pro-nets.com.tw/
Koukněte co od téhle firmy máte v síti a pak to zkuste vypnout.


> ping na 192.168.1.1 neodpovida.
>
> Nechapu proc DHCP server je z jine site nez prideleny rozsah, proc se
> na branu ani DHCP server nelze dopingnout, proc mi prideluje ale moje
> DNS servery. Nemuze jit o nejake sdileni internetu na nejake WIN
> stanici nebo jinou ptakovinu, kterou nekdo nekde naklikal ?
>
> Odpojit porty na switchi mohu, ale jak zjistim vysledek je jedine
> komunikace na DHCP server a prideleni adres, nepoznam to rychle z
> pingu.
>
> Arpingem sem zjistil toto:
>
> ARPING 192.168.1.1 from 192.168.1.100 eth1
> Unicast reply from 192.168.1.1 [00:06:4F:01:FF:17]  0.652ms
> Unicast reply from 192.168.1.1 [DC:9F:DB:96:0A:4E]  1.959ms
> Unicast reply from 192.168.1.1 [00:15:6D:BD:A2:14]  2.446ms
> Unicast reply from 192.168.1.1 [00:15:6D:BD:B5:A1]  295.714ms
> Unicast reply from 192.168.1.1 [00:80:48:3D:42:AB]  306.488ms

Prima, takže reaguje aspoň na arping.
Pustit arping, vypojovat kabely a koukat, kdy přestane reagovat ta
00:06:4F:01:FF:17



> Prvni radek souhlasi s arpem zjistenym z Windows stanice, dalsi 4
> radky jsou maskovany MAC radia, za kazdym je nekolik klientu. Takze
> stejne nevim jak dal, nechapu proc mi to ukazuje tolik smeru ruznymi
> spoji. Jak ted najit ty MAC kde se nachazeji, kdyz skutecna MAC je
> maskovana MAC radia ? Prvni MAC vubec netusim ci je a nikde ji nemuzu
> najit, ty dalsi jsou spoje, proverim tedy co je za nimi, jiny reseni
> me uz nenapada. Zvlastni je, ze se to nechova jako otoceny router
> zapojeny LAN ven misto dovnitr. Objevuje se to nahodne a stahne si to
> na sebe za den tak 2-3 klienty a po par hodinach zas dostanou korektni
> IP.
>
>
> Dekuji
>
>
>>> Resim jestli se neco zblaznilo u me a prideluje muj router adresy mimo
>>> sit (to mi prijde asi nerealna myslenka), takze hledam skodici router,
>>> ktery je ale zapojen jen par minut denne a nepodarilo se me ho nikdy
>>> lokalizovat, nebo ma zakazany ping i web administraci. Kdyz proskenuji
>>> porty IP 192.168.1.1 nenajdu zadny otevreny. Nevim uz jak dal hledat.
>>> Nejake napady ?
>
> PB> Aby reagoval ping, webinterface, musíte být na stejném rozsahu sítě.
>
>
>
>
> --
> Best regards,
>  Pavel                            mailto:linux na argonet.cz
>
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux



-- 
Petr Baláš - petr at balas dot cz

Další informace o konferenci Linux