Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS 11 2ter DHCP Server im Netzwerk von unbekannter Herkunft

Mitglied: nepixl

nepixl (Level 2) - Jetzt verbinden

02.01.2018, aktualisiert 10:47 Uhr, 957 Aufrufe, 5 Kommentare, 1 Danke

Hallo zusammen,

vermutlich muss ich heute schon eine Freitagsfrage stellen.

Da ich seit einiger Zeit Probleme mit der Verbindung unseres CAD Servers habe (das sich seltsamerweiße ohne weiteres zutun jeden Morgen selbst behebt(???)) habe ich mal geschaut, ob der SBS das macht was er soll.

Über Konsole => Beheben von Netzwerkproblemen meldet der SBS einen 2ten DHCP Server mit einer mir fremden IP:
10.116.128.1
Laut DCHP Explorer kommen die Request vom richtigen Server (SBS: 192.168.20.10) - wie es sein soll.
Bei anderen Clients bekommt man eine (richtige) IP aber gilt als unidentifiziert. Startet man die NIC 3-4x neu, kommt man in das Domänennetzwerk. (Statische IP Vergabe funktioniert auch)
Ebenso schießt sich der DHCP Server-Dienst perm. ab. (Was ja eigentlich normal ist, wenn ein 2ter DHCP Server im Netz rumgeistert).

Nun zum Lösungsansatz:
Habe mein Notebook in das 10.116.128er Netzgepackt und gescannt. Kein Host mit *.1 zu finden, weder per Scan noch über sonstige Ports erreichbar.

Wenn ich allerdings DHCP Find 1.2 benutze, bekomme ich ettliche Anfragen und vorgestellte IPs.
Anbei der Log nach 5 Minuten Laufzeit: (Gekürzt da es sich immer um die 10.116.128.1 handelt)

Die ganzen Anfragen kommen direkt aus dem Netz oder? Mir schwant als gäbe es hier ein massives Problem ..

Hättet Ihr eine Idee wie das Problem gelöst bekomme? WIe ich den DHCP Server abschalten bzw identifizieren kann?

Vielen Dank im Voraus.
Gruß Nico


Ps. Gesundes neues Jahr gewünscht.
Mitglied: Kryolyt
02.01.2018 um 11:00 Uhr
Gesundes Neues!

Eines hab ich jetzt nicht verstanden: Du kennst das Gerät nicht, welches die IP 10.116.128.1 hat? Schließt du einen böswilligen Nutzer aus?

Hast du mal tcpdump oder einen anderen netzwerkmonitor laufen lassen? Was macht der DHCP genau, wie ist seine hwid, kennst du das Gerät doch?

Falls du einen managbaren switch oder einen Switch mit gewissen Sicherheitsfunktionen nutzt, schau bitte ob du die HWID oder IP des Geräts blacklisten kannst. Dies ist eine sehr temporäre Lösung, wenn es sich um einen böswilligen Nutzer handelt kann er das ja leider sehr einfach umgehen.
Bitte warten ..
Mitglied: StefanKittel
02.01.2018, aktualisiert um 11:01 Uhr
Moin,

vermutlich irgendein Router als WLAN AP.
über die Anzeige und ARP -a bekommst Du die MAC.
Damit weist Du den Hersteller und kannst auf Deinem managed Switch schauen wo das Gerät angeschlossen ist.

Ruf die IP mal im Browser auf. Vieleicht kommt ein Webinterface.

Stefan
Bitte warten ..
Mitglied: Yannosch
02.01.2018 um 11:03 Uhr
Ich schließe mich @StefanKittel an.

Es ist wahrscheinlich ein AP/Router der DHCP enabled hat.

Hatte ich auch schonmal ... da ich aber nicht viele Clients hier habe ist das Problem schnell gefunden worden.
Bitte warten ..
Mitglied: aqui
02.01.2018, aktualisiert um 11:07 Uhr
einen 2ten DHCP Server mit einer mir fremden IP: 10.116.128.1
Oha, böses Faul ! Das ist tödlich fürs Netz und endet dann in einem Adress Chaos denn jetzt gibt es einen Wettlauf zwischen gutem und bösen DHCP wer zuerst antwortet.
Bei DHCP ists wie beim Highlander: Es kann nur einen geben... !
Gute Netzwerker aktivieren deshalb IMMER das Feature DHCP Snooping auf dem Netzwerk Switch um sowas direkt zu unterbinden.
Das passiert z.B. wenn andere im Netz sich ihr eigenes WLAN "basteln" und einen WLAN Router anstöpseln wo der DHCP Server nicht ausgeschaltet ist. Es gibt zig solcher Szenarien. Zeugt immer das sich der netzwerk Admin wenig oder keine Gedanken gemacht hat bei der Netzwerk Planung

Das Problem kann man aber sehr leicht lösen.
Du nimmst dir den kostenlosen Wireshark Sniffer, und liest damit einen DHCP Prozess mit mit dem bösen DHCP Server. Anhand dessen Mac Adresse kannst du ihn dann eindeutig identifizieren und vom Netz trennen.
Am einfachsten ist es wenn du dazu deinen "richtigen" DHCP mal kurz abziehst und mit dem Wireshark Rechner selber DHCP machst und diesen DHCP Prozess dann gleich mit dem Wireshark mitsnifferst.
Antworten kann ja nur noch der böse DHCP wenn deiner mal kurz weg ist.
Dann hast du alles was du brauchst !

Anhand der Mac Adresse des bösen DHCPs liest du über die Mac Adress Tabelle des Netzwerk Switches den Port aus an dem dieser Bösewicht steckt und kappst ihm dann die Verbindung.
Das sollte in 10 Minuten erledigt sein.
Danach aber DHCP Snooping auf dem Switch aktivieren damit das nicht wieder vorkommt !!
Bitte warten ..
Mitglied: nepixl
02.01.2018 um 11:10 Uhr
Oha, böses Faul !
Jap, eher nicht so schön.

Vielen Dank erstmal für euer Feedback.
Lt. Wireshark habe ich die MAC Adresse bereits gefunden. Muss nun mal schauen wo der Übeltäter steckt und warum er mir das leben schwer machen mag.

Melde mich sobald ich mehr rausbekommen habe.

Danke
Bitte warten ..
Ähnliche Inhalte
Netzwerke

Netzwerk Neuaufbau, Switches, VoIP, WLAN - 2ter Versuch

Frage von daBrain85Netzwerke12 Kommentare

Hallo erneut, ich weiß, ich verstoße mit diesem Beitrag jetzt gegen die Forumsregeln aber meine Frage ging offenbar unter. ...

Windows Server

Hohe Schreibleistung unbekannter Herkunft

Frage von anteNopeWindows Server4 Kommentare

Hallo zusammen, vor einigen Tagen habe ich bei einem Server die SSDs gegen größere getauscht. Seither beobachte ich aber ...

Exchange Server

Mailempfänger unbekannt

Frage von JensDNDExchange Server10 Kommentare

Hallo Admins, wir haben eine MSExchange2016 eine Kollegin hat sein einiger Zeit das Problem, daß Mails an interne Adressen ...

Exchange Server

DKIM Einrichtung auf SBS 11 - Neustart erforderlich?

Frage von nepixlExchange Server4 Kommentare

Hallöchen zusammen, möchte (auch mal) DKIM bei uns im Exchange integrieren. Würde nach folgender Anleitung gehen: DKIM Einrichtung Exchange ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 1 TagSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

Anleitung von FA-jka vor 1 TagDNS6 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Windows Netzwerk
Verbindungsabbrüche Netzwerkkarte
Frage von Dukenukem264Windows Netzwerk14 Kommentare

Hallo Zusammen, habe eine kleine Frage, vielleicht hat der Ein oder Andere schonmal das Problem gehabt. Habe ein MSI ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Hardware
Anbieter PC-Konfigurator mit Garantie UND vor-Ort-Service
gelöst Frage von ITler7Hardware13 Kommentare

Hallo zusammen, wir suchen aktuell nach einem Anbieter, bei dem wir einen PC konfigurieren können, ähnlich wie bei Alternate ...