Xác định máy chủ DHCP giả mạo trên mạng LAN của bạn

Vấn đề
Bạn nghi ngờ rằng một người nào đó đã được cài đặt thêm, máy chủ DHCP trái phép trên mạng LAN của bạn - hoặc unintentiously hoặc độc hại. Vì vậy, bạn muốn kiểm tra cho bất kỳ máy chủ DHCP hoạt động và xác định IP và địa chỉ MAC.

cách giải quyết
Sử dụng Scapy để gửi một DHCP khám phá yêu cầu và phân tích các bài trả lời:

>>> conf.checkIPaddr = False
>>> fam,hw = get_if_raw_hwaddr(conf.iface)
>>> dhcp_discover = Ether(dst="ff:ff:ff:ff:ff:ff")/IP(src="0.0.0.0",dst="255.255.255.255")/UDP(sport=68,dport=67)/BOOTP(chaddr=hw)/DHCP(options=[("message-type","discover"),"end"])
>>> ans, unans = srp(dhcp_discover, multi=True)      # Press CTRL-C after several seconds
Begin emission:
Finished to send 1 packets.
.*...*..
Received 8 packets, got 2 answers, remaining 0 packets

Trong trường hợp này, chúng ta có 2 bài trả lời, do đó, có hai máy chủ DHCP đang hoạt động trên mạng thử nghiệm:

>>> ans.summarize()
Ether / IP / UDP 0.0.0.0:bootpc > 255.255.255.255:bootps / BOOTP / DHCP ==> Ether / IP / UDP 192.168.1.1:bootps > 255.255.255.255:bootpc / BOOTP / DHCP
Ether / IP / UDP 0.0.0.0:bootpc > 255.255.255.255:bootps / BOOTP / DHCP ==> Ether / IP / UDP 192.168.1.11:bootps > 255.255.255.255:bootpc / BOOTP / DHCP
}}}
We are only interested in the MAC and IP addresses of the replies:
{{{
>>> for p in ans: print p[1][Ether].src, p[1][IP].src
...
00:de:ad:be:ef:00 192.168.1.1
00:11:11:22:22:33 192.168.1.11

Thảo luận

Chúng tôi xác định đa = True để làm Scapy chờ đợi thêm các gói tin trả lời sau khi các phản ứng đầu tiên là nhận được. Đây cũng là lý do tại sao chúng ta không thể sử dụng thuận tiện hơn dhcp_request () chức năng và phải xây dựng các gói tin DHCP bằng tay: dhcp_request () sử dụng SRP1 () để gửi và nhận và do đó ngay lập tức sẽ trở lại sau khi các gói tin trả lời đầu tiên.

Hơn nữa, Scapy thường làm cho chắc chắn rằng trả lời đến từ các địa chỉ IP cùng kích thích đã được gửi đến. Nhưng gói DHCP của chúng tôi sẽ được gửi đến địa chỉ IP broadcast (255.255.255.255) và bất kỳ gói tin trả lời sẽ có địa chỉ IP của máy chủ DHCP trả lời như địa chỉ IP nguồn của nó (ví dụ 192.168.1.1). Bởi vì các địa chỉ IP không phù hợp, chúng ta phải vô hiệu hóa kiểm tra Scapy với conf.checkIPaddr = False trước khi gửi các kích thích.

Xem thêm
http://en.wikipedia.org/wiki/Rogue_DHCP

Comments

Post a Comment

Popular posts from this blog

Npcap

Dự án của Nmap cho thư viện packet sniffing dành cho Windows, dựa trên WinPcap/libpcap được cải tiến với NDIS 6 và LWF. http://www.npcap.org Npcap là một bản cập nhật của WinPcap cho NDIS 6 Light-Weight Filter (LWF). Nó hỗ trợ Windows Vista, 7, 8 và 10. Nó được tài trợ bởi dự án Nmap và phát triển bởi Yang Luo ở Google Summer of Code 2013 và 2015. Nó cũng nhận được rất nhiều kiểm tra hữu ích từ Wireshark, libpcap và NetScanTools. Tính năng, đặc điểm Hỗ trợ NDIS 6: Npcap sử dụng NDIS 6 Light-Weight Filter (LWF) API mới trong Windows Vista và sau đó (trình điều khiển kế thừa được sử dụng trên XP). Nó nhanh hơn phản NDIS 5 API, mà Microsoft có thể loại bỏ bất cứ lúc nào. Hỗ trợ libpcap API mới nhất: Npcap cung cấp hỗ trợ cho các libpcap API mới nhất bằng cách chấp nhận libpcap như một submodule Git. Phiên bản libpcap mới nhất 1.8.0 đã tích hợp tính năng hấp dẫn hơn và nhiều chức năng hơn so với libpcap phản 1.0.0 vận chuyển bằng WinPcap. Hơn nữa, kể từ khi Linux đã có mộ...
Read more

Monitor mode

Monitor mode, hoặc RFMON (Radio Frequency MONitor) mode, cho phép một máy tính với một bộ điều khiển giao diện mạng không dây (WNIC) để giám sát tất cả lưu lượng nhận được từ các mạng không dây. Không giống như chế độ promiscuous, mà còn được sử dụng cho packet sniffing, Monitor mode cho phép các gói tin bị bắt giữ mà không cần phải liên kết trước với một điểm truy cập hoặc mạng ad-hoc. Monitor mode chỉ áp dụng cho các mạng không dây, trong khi chế độ promiscuous có thể được sử dụng trên cả hai mạng có dây và không dây. chế độ Màn hình là một trong bảy chế độ mà 802.11 card mạng không dây có thể hoạt động ở: Master (hoạt động như một điểm truy cập), Quản lý (client, còn được gọi là station), Ad hoc, Mesh, Repeater, Promiscuous, và Monitor mode. Úng dụng Một số ứng dụng cho chế độ màn hình bao gồm: geographical packet analysis, giám sát lưu thông mạng trên diện rộng; esp. cho các kênh không an toàn (ví dụ như thông qua WEP), và kiến thức tiếp thu công nghệ Wi-Fi thông qua kinh nghiệ...
Read more

Thiết lập card không dây trên Kali Linux

Image
Thiết lập adapter không dây của là dễ dàng hơn nhiều so với các điểm truy cập. Ưu điểm là Kali hỗ trợ Card này out-of-the-box và với tất cả các trình điều khiển thiết bị cần thiết để cho phép packet injection và packet sniffing. Card được sử dụng trong hướng dẫn này là TP Link TL WN722N Cắm thẻ vào một trong các cổng USB của máy tính xách tay của Kali và khởi động nó. Một khi bạn đăng nhập, mở một terminal console và gõ iwconfig. màn hình của bạn nên xem xét như sau: Như bạn có thể thấy, wlan1 là wireless interface tạo bởi wireless adapter. Gõ ifconfig wlan0 để mang lại giao diện lên. Sau đó, gõ ifconfig wlan0 để xem trạng thái hiện tại của giao diện: Các địa chỉ MAC 00: c0: ca: 3e: bd: 93 phải phù hợp với địa chỉ MAC bằng văn bản dưới thẻ Alfa của bạn. Tôi đang sử dụng Edimax đó mang lại cho tôi MAC trước Địa chỉ 80: 1f: 02: 8F: 34: d5. Đây là một kiểm tra nhanh chóng để đảm bảo rằng bạn có kích hoạt giao diện chính xác. tàu Kali với tất cả các trình điều khi...
Read more