Falesny DHCP server ?

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Úterý Listopad 10 23:53:41 CET 2015 

On Tue, 10 Nov 2015, Pavel wrote:

> jelikoz mam na svem DHCP serveru povolene jen IP dle MAC, tak cizi PC 
> nedostane ode me adresu. Takze jsem vzal Win stanici a pripojil na 
> switch, dostal jsem tyto parametry z falesneho DHCP:

Akorát jste propásnul perfektní příležitost odchytnout komunikaci s tím 
falešným serverem, takže pořád víte jen jeho údajnou IP adresu:

> server DHCP  192.168.1.1

ale už ne jeho MAC adresu.

> arp -a
> 192.168.1.1     00-06-4f-01-ff-17    dynamicka

To je zajímavé. A je zde jakási nezanedbatelná šance, že je to skutečně 
MAC adresa toho podvratného živla, ale úplně jisté to není.

> Nechapu proc DHCP server je z jine site nez prideleny rozsah, proc se
> na branu ani DHCP server nelze dopingnout, proc mi prideluje ale moje
> DNS servery. Nemuze jit o nejake sdileni internetu na nejake WIN
> stanici nebo jinou ptakovinu, kterou nekdo nekde naklikal ?

Může. A to, že neodpovídá na ping, může být jak nějaký zmatek v routování, 
tak nějaká "bezpečnostní funkce".

> Arpingem sem zjistil toto:
>
> ARPING 192.168.1.1 from 192.168.1.100 eth1
> Unicast reply from 192.168.1.1 [00:06:4F:01:FF:17]  0.652ms
> Unicast reply from 192.168.1.1 [DC:9F:DB:96:0A:4E]  1.959ms
> Unicast reply from 192.168.1.1 [00:15:6D:BD:A2:14]  2.446ms
> Unicast reply from 192.168.1.1 [00:15:6D:BD:B5:A1]  295.714ms
> Unicast reply from 192.168.1.1 [00:80:48:3D:42:AB]  306.488ms
>
> Prvni radek souhlasi s arpem zjistenym z Windows stanice, dalsi 4
> radky jsou maskovany MAC radia, za kazdym je nekolik klientu. Takze
> stejne nevim jak dal, nechapu proc mi to ukazuje tolik smeru ruznymi
> spoji.

Když říkáte "rádia", tak tím myslíte co? Pokud je tam MAC toho "rádia", 
tak na ARP (nejspíš) odpovídá ono samo, IP adresu 192.168.1.1 považuje za 
vlastní také ono samo a není moc potřeba řešit, co se schovává za ním.

> Prvni MAC vubec netusim ci je a nikde ji nemuzu najit,

V tom případě je podezřelá a měl byste se zaměřit na ní.

Prostě jděte od jednoho síťového prvku k dalšímu a všude zjistěte (ať už 
přes management, nebo v horším případě odpojováním portů), kterým směrem 
se ta adresa nachází.

> Objevuje se to nahodne a stahne si to na sebe za den tak 2-3 klienty a 
> po par hodinach zas dostanou korektni IP.

To může být prostě tím, že kolísá relativní rychlost těch DHCP serverů. 
Když falešný server odpovídá rychleji než legitimní server, tak se na něj 
počítače nachytají, když odpovídá pomaleji, tak se to zase spraví.

-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"

Další informace o konferenci Linux