请参阅此问题了解背景: 是否可以在 DHCP 客户端列表中隐藏某人的存在
nmap 为我找到了所有连接的客户端,自从我更改密码等之后,我在这方面没有遇到任何问题。
但我的路由器仍然行为怪异(随机断开连接等),这在入侵之前没有发生过。所以我怀疑入侵的某些残余仍然存在。也许是上一个问题中提到的流氓 DHCP 服务器。
但是我如何找到这样的服务器呢?或者如果存在,nmap 应该找到它吗?
附言:查看路由器上运行的服务时,除了正常的 TCP/IP 之外,我还发现了一个“eDonkey”服务器。这似乎是完全过时的技术,因此它可能是路由器(Belkin N150 型号)默认附带的。或者可能是入侵者可能使用的东西?如果是这样,我会单独问一个关于关闭它的问题。
答案1
跟踪 DHCP 服务器的最简单方法是发出 DHCP 请求并查看回复。
在 Linux 机器上这是最简单的,但是你也可以在 Windows 机器上完成。
对于 linux 和 Windows,都可以使用 wireshark 监控针对 udp 端口 67-68 过滤的相关接口
对于 Windows,请切换到静态 IP,然后切换到 dhcp IP。这将触发 dhcp 请求:
netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1
netsh interface ip set address "Local Area Connection" dhcp
对于 Linux,您可以(确保 NetworkManager 或任何其他网络管理服务没有运行):
ifconfig eth0 down
ifconfig eth0 up
dhclient eth0
然后观察 wireshark 中发生了什么。您应该看到 DHCP 请求以广播形式发出,然后一系列 IP 地址将发送响应。
EDonkey 是一款文件共享软件,常用于盗版数据。供应商在您的路由器上安装或启用该软件的可能性很小。
答案2
dhcploc.exe 等应用程序将帮助查找隐藏在您的网络上的 DHCP 服务器。