Falesny DHCP server ?

Pavel linux na argonet.cz
Pondělí Listopad 16 13:58:16 CET 2015 

Dobry den,

Tuesday, November 10, 2015, 9:33:08 PM, you wrote:

PB> 2015-11-10 21:13 GMT+01:00 Pavel <linux na argonet.cz>:
>> Dobry den,
>>
>> Tuesday, November 10, 2015, 9:35:29 AM, you wrote:
>>
>> PB> 2015-11-09 21:56 GMT+01:00 Pavel <linux na argonet.cz>:
>>>> Dobry vecer,
>>>>
>>>> resim problem v siti s DHCP serverem. Sit je
>>>> 192.168.200.0/255.255.255.128. V posledni dobe ale nekteri klienti
>>>> dostavaji adresy treba 192.168.200.133 nebo 192.168.200.142, coz je
>>>> jiz mimo moji sit. Ale DNS maji pridelene spravne moje vereje adresy.
>>>> O prideleni techto adres pochopitelne na DHCP v logu neni ani zminka,
>>>> z toho soudim, ze v siti nekdo zapojil obracene router a rozdava tyto
>>>> adresy on. Na klientovi je treba:
>>>>
>>>> IP    192.168.200.133   adresa mimo rozsah moji site
>>>> brana 192.168.200.1     moje brana do internetu
>>>> DNS   verejna IP z moji site
>>>>
>>>> v logu jsou jedine udaje pokud klient znovu zada o prideleni IP:
>>>>
>>>> Nov  9 20:16:15 pisecna dhcpd: DHCPREQUEST for 192.168.200.133
>>>> (192.168.1.1) from 94:44:52:f0:4b:a3 via eth1: ignored (not
>>>> authoritative).
>>>> Nov  9 20:16:52 pisecna dhcpd: DHCPRELEASE of 192.168.200.133
>>>> from 94:44:52:f0:4b:a3 via eth1 (not found)
>>>> Nov  9 20:41:28 pisecna dhcpd: DHCPREQUEST for 192.168.200.142
>>>> (192.168.1.1) from 74:d4:35:f9:f4:70 via eth1: ignored (not
>>>> authoritative).
>>>> Nov  9 20:42:12 pisecna dhcpd: DHCPRELEASE of 192.168.200.142
>>>> from 74:d4:35:f9:f4:70 via eth1 (not found)
>>>>
>>>> klient si ponecha puvodni adresu. Pokud pingam na branu 192.168.200.1,
>>>> ta je pochopitelne moje a odpovida. Podle logu, ale falesnou IP
>>>> pridelil router 192.168.1.1. Jak muze router pridelovat adresy z jineho
>>>> rozsahu, vetsina routeru za petistovku tohle vubec neumi. Navic sit
>>>> 192.168.1.0 mam na routeru take, ale na druhe sitovce smerem do
>>>> internetu. Je jen kvuli administraci switche, takze ji muzu shodit,
>>>> jestli to necemu pomuze. Kazdopadne se na tuto sit pak nedopingnu,
>>>> takze skodici DHCP server neodpovida.
>>
>> PB> Nastavte si na nějaké PC natvrdo adresu z rozsahu 192.168.1.x a pak
>> PB> se na něj pingnete (pokud poběží). Pak máte i jeho MAC adresu (příkaz
>> PB> arp, funguje i na Win, jen jiné parametry). Z MAC adresy lze odhadnout
>> PB> výrobce toho routeru - Google - mac address decoder, to se může hodit.
>> PB> Najít danou MAC v rozhraní switche, nebo si na něj pingat a zároveň
>> PB> odpojovat kabely a koukat kdy přestane reagovat.
>>
>> Fakt uz nevim co hledat. par dalsich testu v siti:
>>
>> jelikoz mam na svem DHCP serveru povolene jen IP dle MAC, tak cizi PC
>> nedostane ode me adresu. Takze jsem vzal Win stanici a pripojil na
>> switch, dostal jsem tyto parametry z falesneho DHCP:
>>
>> IP           192.168.200.147
>> maska        255.255.255.0
>> brana        192.168.200.1
>> server DHCP  192.168.1.1
>> oba DNS jsou ale moje verejne IP
>>
>> ping neodpovida ani na 192.168.1.1. ani na 192.168.200.1. Pritom
>> 192.168.200.1 je muj router, ale pokud dostanu falesnou adresu,
>> nedopingnu si ani na branu (falesnou) ani na svuj vlastni router.
>> Aha, to je asi spravne, protoze ja mam masku mensi, takze mam sit jen
>> do 128, takze vlastni router nemuzu uz v vyssi siti videt.
>>
>> ve Win na klientovi arp -a vypise pouze toto:
>> 192.168.100.1   00-4f-49-0a-cf-78    dynamicka
>> 192.168.200.1   00-13-d4-af-57-2f    dynamicka
>>
>> pokud si nastavim rucne na svoji sitovce treba 192.168.1.221
>>
>> arp -a
>> 192.168.1.1     00-06-4f-01-ff-17    dynamicka
>> 192.168.200.1   00-13-d4-af-57-2f    dynamicka

PB> http://aruljohn.com/mac/00064F01FF17
PB> http://pro-nets.com.tw/
PB> Koukněte co od téhle firmy máte v síti a pak to zkuste vypnout.
Bohuzel netusim, co si kdo pripoji na linku za router. :-(

>> ping na 192.168.1.1 neodpovida.
>>
>> Nechapu proc DHCP server je z jine site nez prideleny rozsah, proc se
>> na branu ani DHCP server nelze dopingnout, proc mi prideluje ale moje
>> DNS servery. Nemuze jit o nejake sdileni internetu na nejake WIN
>> stanici nebo jinou ptakovinu, kterou nekdo nekde naklikal ?
>>
>> Odpojit porty na switchi mohu, ale jak zjistim vysledek je jedine
>> komunikace na DHCP server a prideleni adres, nepoznam to rychle z
>> pingu.
>>
>> Arpingem sem zjistil toto:
>>
>> ARPING 192.168.1.1 from 192.168.1.100 eth1
>> Unicast reply from 192.168.1.1 [00:06:4F:01:FF:17]  0.652ms
>> Unicast reply from 192.168.1.1 [DC:9F:DB:96:0A:4E]  1.959ms
>> Unicast reply from 192.168.1.1 [00:15:6D:BD:A2:14]  2.446ms
>> Unicast reply from 192.168.1.1 [00:15:6D:BD:B5:A1]  295.714ms
>> Unicast reply from 192.168.1.1 [00:80:48:3D:42:AB]  306.488ms

PB> Prima, takže reaguje aspoň na arping.
PB> Pustit arping, vypojovat kabely a koukat, kdy přestane reagovat ta
PB> 00:06:4F:01:FF:17



>> Prvni radek souhlasi s arpem zjistenym z Windows stanice, dalsi 4
>> radky jsou maskovany MAC radia, za kazdym je nekolik klientu. Takze
>> stejne nevim jak dal, nechapu proc mi to ukazuje tolik smeru ruznymi
>> spoji. Jak ted najit ty MAC kde se nachazeji, kdyz skutecna MAC je
>> maskovana MAC radia ? Prvni MAC vubec netusim ci je a nikde ji nemuzu
>> najit, ty dalsi jsou spoje, proverim tedy co je za nimi, jiny reseni
>> me uz nenapada. Zvlastni je, ze se to nechova jako otoceny router
>> zapojeny LAN ven misto dovnitr. Objevuje se to nahodne a stahne si to
>> na sebe za den tak 2-3 klienty a po par hodinach zas dostanou korektni
>> IP.
>>
>>
>> Dekuji
>>
>>
>>>> Resim jestli se neco zblaznilo u me a prideluje muj router adresy mimo
>>>> sit (to mi prijde asi nerealna myslenka), takze hledam skodici router,
>>>> ktery je ale zapojen jen par minut denne a nepodarilo se me ho nikdy
>>>> lokalizovat, nebo ma zakazany ping i web administraci. Kdyz proskenuji
>>>> porty IP 192.168.1.1 nenajdu zadny otevreny. Nevim uz jak dal hledat.
>>>> Nejake napady ?
>>
>> PB> Aby reagoval ping, webinterface, musíte být na stejném rozsahu sítě.
>>
>>
>>
>>
>> --
>> Best regards,
>>  Pavel                            mailto:linux na argonet.cz
>>
>> _______________________________________________
>> Linux mailing list
>> Linux na linux.cz
>> http://www.linux.cz/mailman/listinfo/linux






-- 
Best regards,
 Pavel

Další informace o konferenci Linux