5
SBS 11 2ter DHCP Server im Netzwerk von unbekannter Herkunft
Hallo zusammen,
vermutlich muss ich heute schon eine Freitagsfrage stellen.
Da ich seit einiger Zeit Probleme mit der Verbindung unseres CAD Servers habe (das sich seltsamerweiße ohne weiteres zutun jeden Morgen selbst behebt(???)) habe ich mal geschaut, ob der SBS das macht was er soll.
Über Konsole => Beheben von Netzwerkproblemen meldet der SBS einen 2ten DHCP Server mit einer mir fremden IP:
10.116.128.1
Laut DCHP Explorer kommen die Request vom richtigen Server (SBS: 192.168.20.10) - wie es sein soll.
Bei anderen Clients bekommt man eine (richtige) IP aber gilt als unidentifiziert. Startet man die NIC 3-4x neu, kommt man in das Domänennetzwerk. (Statische IP Vergabe funktioniert auch)
Ebenso schießt sich der DHCP Server-Dienst perm. ab. (Was ja eigentlich normal ist, wenn ein 2ter DHCP Server im Netz rumgeistert).
Nun zum Lösungsansatz:
Habe mein Notebook in das 10.116.128er Netzgepackt und gescannt. Kein Host mit *.1 zu finden, weder per Scan noch über sonstige Ports erreichbar.
Wenn ich allerdings DHCP Find 1.2 benutze, bekomme ich ettliche Anfragen und vorgestellte IPs.
Anbei der Log nach 5 Minuten Laufzeit: (Gekürzt da es sich immer um die 10.116.128.1 handelt)
Die ganzen Anfragen kommen direkt aus dem Netz oder? Mir schwant als gäbe es hier ein massives Problem ..
Hättet Ihr eine Idee wie das Problem gelöst bekomme? WIe ich den DHCP Server abschalten bzw identifizieren kann?
Vielen Dank im Voraus.
Gruß Nico
Ps. Gesundes neues Jahr gewünscht.
vermutlich muss ich heute schon eine Freitagsfrage stellen.
Da ich seit einiger Zeit Probleme mit der Verbindung unseres CAD Servers habe (das sich seltsamerweiße ohne weiteres zutun jeden Morgen selbst behebt(???)) habe ich mal geschaut, ob der SBS das macht was er soll.
Über Konsole => Beheben von Netzwerkproblemen meldet der SBS einen 2ten DHCP Server mit einer mir fremden IP:
10.116.128.1
Laut DCHP Explorer kommen die Request vom richtigen Server (SBS: 192.168.20.10) - wie es sein soll.
Bei anderen Clients bekommt man eine (richtige) IP aber gilt als unidentifiziert. Startet man die NIC 3-4x neu, kommt man in das Domänennetzwerk. (Statische IP Vergabe funktioniert auch)
Ebenso schießt sich der DHCP Server-Dienst perm. ab. (Was ja eigentlich normal ist, wenn ein 2ter DHCP Server im Netz rumgeistert).
Nun zum Lösungsansatz:
Habe mein Notebook in das 10.116.128er Netzgepackt und gescannt. Kein Host mit *.1 zu finden, weder per Scan noch über sonstige Ports erreichbar.
Wenn ich allerdings DHCP Find 1.2 benutze, bekomme ich ettliche Anfragen und vorgestellte IPs.
Anbei der Log nach 5 Minuten Laufzeit: (Gekürzt da es sich immer um die 10.116.128.1 handelt)
Packet from 192.168.20.10
Offered IP 192.168.20.62
Subnet Mask 255.255.255.0
Renew Due in 3600 Seconds
Lease Length 7200 Seconds
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 91.89.184.233
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 80.69.96.12
Relayed by 10.116.128.1
Offered IP 46.5.50.142
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 80.69.96.12
Relayed by 10.116.128.1
Offered IP 91.89.180.58
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 80.69.96.12
Relayed by 10.116.128.1
Offered IP 91.89.180.234
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 1.255.0.0
Relayed by 10.116.128.1
Subnet Mask 255.255.254.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 46.5.167.234
Lease Length 3600 Seconds
Subnet Mask 255.255.254.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 46.5.167.124
Lease Length 3600 Seconds
Subnet Mask 255.255.254.0
-------------------------
Packet from 5.220.255.0
Relayed by 10.116.128.1
Offered IP 46.5.50.13
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 46.5.50.109
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 46.5.49.47
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 78.42.102.38
Lease Length 3600 Seconds
Subnet Mask 255.255.254.0
-------------------------
Packet from 109.116.97.47
Relayed by 10.116.128.1
Offered IP 10.75.121.234
Lease Length 202367 Seconds
Subnet Mask 255.255.192.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 91.89.181.27
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 80.69.96.12
Relayed by 10.116.128.1
Offered IP 46.5.48.172
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 109.116.97.47
Relayed by 10.116.128.1
Offered IP 10.75.66.91
Lease Length 3600 Seconds
Subnet Mask 255.255.192.0
-------------------------
Packet from 109.116.97.47
Relayed by 10.116.128.1
Offered IP 10.75.66.91
Lease Length 3600 Seconds
Subnet Mask 255.255.192.0
-------------------------
Packet from 80.69.96.12
Relayed by 10.116.128.1
Offered IP 78.42.103.190
Lease Length 3600 Seconds
Subnet Mask 255.255.254.0
-------------------------
Packet from 5.220.255.0
Relayed by 10.116.128.1
Offered IP 91.89.184.89
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 91.89.184.106
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 91.89.180.171
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 5.220.255.0
Relayed by 10.116.128.1
Offered IP 46.5.167.20
Lease Length 3600 Seconds
Subnet Mask 255.255.254.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 78.42.102.45
Lease Length 3600 Seconds
Subnet Mask 255.255.254.0
-------------------------
Packet from 104.116.116.112
Relayed by 10.116.128.1
Offered IP 91.89.184.64
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
Packet from 5.220.255.0
Relayed by 10.116.128.1
Offered IP 91.89.181.201
Lease Length 3600 Seconds
Subnet Mask 255.255.252.0
-------------------------
USWUSWDie ganzen Anfragen kommen direkt aus dem Netz oder? Mir schwant als gäbe es hier ein massives Problem ..
Hättet Ihr eine Idee wie das Problem gelöst bekomme? WIe ich den DHCP Server abschalten bzw identifizieren kann?
Vielen Dank im Voraus.
Gruß Nico
Ps. Gesundes neues Jahr gewünscht.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 359609
Url: https://administrator.de/contentid/359609
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Gesundes Neues!
Eines hab ich jetzt nicht verstanden: Du kennst das Gerät nicht, welches die IP 10.116.128.1 hat? Schließt du einen böswilligen Nutzer aus?
Hast du mal tcpdump oder einen anderen netzwerkmonitor laufen lassen? Was macht der DHCP genau, wie ist seine hwid, kennst du das Gerät doch?
Falls du einen managbaren switch oder einen Switch mit gewissen Sicherheitsfunktionen nutzt, schau bitte ob du die HWID oder IP des Geräts blacklisten kannst. Dies ist eine sehr temporäre Lösung, wenn es sich um einen böswilligen Nutzer handelt kann er das ja leider sehr einfach umgehen.
Eines hab ich jetzt nicht verstanden: Du kennst das Gerät nicht, welches die IP 10.116.128.1 hat? Schließt du einen böswilligen Nutzer aus?
Hast du mal tcpdump oder einen anderen netzwerkmonitor laufen lassen? Was macht der DHCP genau, wie ist seine hwid, kennst du das Gerät doch?
Falls du einen managbaren switch oder einen Switch mit gewissen Sicherheitsfunktionen nutzt, schau bitte ob du die HWID oder IP des Geräts blacklisten kannst. Dies ist eine sehr temporäre Lösung, wenn es sich um einen böswilligen Nutzer handelt kann er das ja leider sehr einfach umgehen.
Moin,
vermutlich irgendein Router als WLAN AP.
über die Anzeige und ARP -a bekommst Du die MAC.
Damit weist Du den Hersteller und kannst auf Deinem managed Switch schauen wo das Gerät angeschlossen ist.
Ruf die IP mal im Browser auf. Vieleicht kommt ein Webinterface.
Stefan
vermutlich irgendein Router als WLAN AP.
über die Anzeige und ARP -a bekommst Du die MAC.
Damit weist Du den Hersteller und kannst auf Deinem managed Switch schauen wo das Gerät angeschlossen ist.
Ruf die IP mal im Browser auf. Vieleicht kommt ein Webinterface.
Stefan
Ich schließe mich @StefanKittel an.
Es ist wahrscheinlich ein AP/Router der DHCP enabled hat.
Hatte ich auch schonmal ... da ich aber nicht viele Clients hier habe ist das Problem schnell gefunden worden.
Es ist wahrscheinlich ein AP/Router der DHCP enabled hat.
Hatte ich auch schonmal ... da ich aber nicht viele Clients hier habe ist das Problem schnell gefunden worden.
einen 2ten DHCP Server mit einer mir fremden IP: 10.116.128.1
Oha, böses Faul ! Das ist tödlich fürs Netz und endet dann in einem Adress Chaos denn jetzt gibt es einen Wettlauf zwischen gutem und bösen DHCP wer zuerst antwortet.Bei DHCP ists wie beim Highlander: Es kann nur einen geben... !
Gute Netzwerker aktivieren deshalb IMMER das Feature DHCP Snooping auf dem Netzwerk Switch um sowas direkt zu unterbinden.
Das passiert z.B. wenn andere im Netz sich ihr eigenes WLAN "basteln" und einen WLAN Router anstöpseln wo der DHCP Server nicht ausgeschaltet ist. Es gibt zig solcher Szenarien. Zeugt immer das sich der netzwerk Admin wenig oder keine Gedanken gemacht hat bei der Netzwerk Planung
Das Problem kann man aber sehr leicht lösen.
Du nimmst dir den kostenlosen Wireshark Sniffer, und liest damit einen DHCP Prozess mit mit dem bösen DHCP Server. Anhand dessen Mac Adresse kannst du ihn dann eindeutig identifizieren und vom Netz trennen.
Am einfachsten ist es wenn du dazu deinen "richtigen" DHCP mal kurz abziehst und mit dem Wireshark Rechner selber DHCP machst und diesen DHCP Prozess dann gleich mit dem Wireshark mitsnifferst.
Antworten kann ja nur noch der böse DHCP wenn deiner mal kurz weg ist.
Dann hast du alles was du brauchst !
Anhand der Mac Adresse des bösen DHCPs liest du über die Mac Adress Tabelle des Netzwerk Switches den Port aus an dem dieser Bösewicht steckt und kappst ihm dann die Verbindung.
Das sollte in 10 Minuten erledigt sein.
Danach aber DHCP Snooping auf dem Switch aktivieren damit das nicht wieder vorkommt !!
1
Oha, böses Faul !
Jap, eher nicht so schön.Vielen Dank erstmal für euer Feedback.
Lt. Wireshark habe ich die MAC Adresse bereits gefunden. Muss nun mal schauen wo der Übeltäter steckt und warum er mir das leben schwer machen mag.
Melde mich sobald ich mehr rausbekommen habe.
Danke
