我之所以问这个问题,是因为我最近在 DHCP 客户端列表中看到一些不熟悉的设备后更改了我的 WiFi 密码。
此后,客户端列表中现在只有熟悉的名字,但网络中仍然存在一些无法解释的行为(网络在本不应该拥塞的时候变得拥塞。WiFi 路由器闪烁一些不应该闪烁的灯(以前没有闪烁)等)。
这些问题可能来自其他来源,但在转向其他问题之前,我只是想确保入侵者不可能将自己隐藏在 DHCP 客户端列表中。
答案1
如果他们为自己分配一个静态 IP,那么他们将不会出现在 DHCP 客户端列表中。您是否无法在路由器管理界面的任何其他部分(例如所有已连接设备的摘要)上看到它们?他们可能会执行以下操作:
您唯一真正接近隐藏的机会是运行一个流氓 DHCP 服务器,该服务器将地址分发到与现有子网不同的子网上,确保伪造 DHCP 响应的 mac 地址以匹配当前路由器的 mac 地址。对于 IDS 或某种性质的观察者来说,路由器似乎已经疯了,现在正在运行两个 DHCP 服务器,因为两个 DHCP 响应都会显示出来。除非 IDS 是路由器,因为它会看到响应来自交换机上的端口而不是它自己。
因此,一旦客户端使用您对 DHCP 的响应作为其地址,您就可以让您的计算机克隆该客户端的 mac 地址和主机名,并向路由器发送 DHCP 请求并获取网络上的真实 IP 地址。然后,一些简单的 NAT 路由将允许您窃取其身份的客户端仍然能够运行。这将导致网络不一致,但应该能够正常运行。主要的不一致之处在于一个 mac 地址有两个不同的 IP 地址,并且位于交换机的两个不同端口上。网络上的其他客户端应该可以接受这种情况,因为它们不在子网中作为其中一个地址,路由器可能不会接受,因为您的计算机将不断尝试与客户端通信以获取其 nat 流量。可能还需要设置 DMZ 并将克隆的客户端放在 DMZ 中,以便文件共享(等)仍然适用于它。