См. Этот вопрос для справки:возможно ли скрыть свое присутствие в списке клиентов DHCP

Nmap находит все подключенные клиенты для меня, и у меня не было никаких проблем на этом фронте с момента смены паролей и т. д.

Но мой роутер по-прежнему ведет себя странно (случайное отключение и т.д.), Чего не было до вторжения. Поэтому я подозреваю, что некоторые остатки вторжения все еще остались. Возможно, мошеннический DHCP-сервер, как упоминалось в предыдущем вопросе.

Но как мне найти такой сервер? Или Nmap должен был найти один, если он существует?

PS: Посмотрев на службы, работающие на маршрутизаторе, я обнаружил, помимо обычного TCP/IP, сервер "eDonkey". Это похоже на устаревшую технологию, поэтому возможно, что по умолчанию она поставляется с маршрутизатором (модель Belkin N150). Или это может быть что-то, что мог использовать злоумышленник? Если так, я задам отдельный вопрос о его закрытии.

|источник

2 ответа2

3

Самый простой способ отследить DHCP-серверы - это выполнить DHCP-запрос и посмотреть, что ответит.

Это проще всего сделать с Linux, но вы можете сделать это и с Windows-машины.

Как для Linux, так и для Windows вы можете использовать wireshark для мониторинга соответствующего интерфейса, отфильтрованного для порта udp 67-68.

Для Windows переключитесь на статический ip, затем на ip dhcp. Это вызовет запрос DHCP:

netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp

Для Linux вы можете (убедитесь, что NetworkManager или любые другие службы управления сетью не работают):

ifconfig eth0 down
ifconfig eth0 up
dhclient eth0

Тогда посмотрите, что происходит в wireshark. Вы должны увидеть, как запрос DHCP отправляется в виде широковещательной рассылки, после чего серия IP-адресов отправит ответ.

EDonkey - это программа для обмена файлами, часто используемая для пиратства данных. Существует очень мало шансов, что поставщик установил или включил его на вашем маршрутизаторе.

|источник
0

Приложение, такое как dhcploc.exe, поможет найти DHCP-серверы, которые скрываются в вашей сети.

Утилита DHCPLOC в Microsoft Technet

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .