nepixl
Jan 02, 2018, updated at 09:47:15 (UTC)
view1925
view5
0
Goto Top

SBS 11 2ter DHCP Server im Netzwerk von unbekannter Herkunft

GermanQuestionLAN, WAN, WirelessNetworks
Hallo zusammen,

vermutlich muss ich heute schon eine Freitagsfrage stellen.

Da ich seit einiger Zeit Probleme mit der Verbindung unseres CAD Servers habe (das sich seltsamerweiße ohne weiteres zutun jeden Morgen selbst behebt(???)) habe ich mal geschaut, ob der SBS das macht was er soll.

Über Konsole => Beheben von Netzwerkproblemen meldet der SBS einen 2ten DHCP Server mit einer mir fremden IP:
10.116.128.1
Laut DCHP Explorer kommen die Request vom richtigen Server (SBS: 192.168.20.10) - wie es sein soll.
Bei anderen Clients bekommt man eine (richtige) IP aber gilt als unidentifiziert. Startet man die NIC 3-4x neu, kommt man in das Domänennetzwerk. (Statische IP Vergabe funktioniert auch)
Ebenso schießt sich der DHCP Server-Dienst perm. ab. (Was ja eigentlich normal ist, wenn ein 2ter DHCP Server im Netz rumgeistert).

Nun zum Lösungsansatz:
Habe mein Notebook in das 10.116.128er Netzgepackt und gescannt. Kein Host mit *.1 zu finden, weder per Scan noch über sonstige Ports erreichbar.

Wenn ich allerdings DHCP Find 1.2 benutze, bekomme ich ettliche Anfragen und vorgestellte IPs.
Anbei der Log nach 5 Minuten Laufzeit: (Gekürzt da es sich immer um die 10.116.128.1 handelt)

Packet from 192.168.20.10 
 Offered IP 192.168.20.62 
 Subnet Mask 255.255.255.0
 Renew Due in 3600 Seconds
 Lease Length 7200 Seconds
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 91.89.184.233 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 80.69.96.12 
 Relayed by 10.116.128.1 
 Offered IP 46.5.50.142 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 80.69.96.12 
 Relayed by 10.116.128.1 
 Offered IP 91.89.180.58 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 80.69.96.12 
 Relayed by 10.116.128.1 
 Offered IP 91.89.180.234 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 1.255.0.0 
 Relayed by 10.116.128.1 
 Subnet Mask 255.255.254.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 46.5.167.234 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.254.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 46.5.167.124 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.254.0
-------------------------
Packet from 5.220.255.0 
 Relayed by 10.116.128.1 
 Offered IP 46.5.50.13 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 46.5.50.109 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 46.5.49.47 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 78.42.102.38 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.254.0
-------------------------
Packet from 109.116.97.47 
 Relayed by 10.116.128.1 
 Offered IP 10.75.121.234 
 Lease Length 202367 Seconds
 Subnet Mask 255.255.192.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 91.89.181.27 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 80.69.96.12 
 Relayed by 10.116.128.1 
 Offered IP 46.5.48.172 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 109.116.97.47 
 Relayed by 10.116.128.1 
 Offered IP 10.75.66.91 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.192.0
-------------------------
Packet from 109.116.97.47 
 Relayed by 10.116.128.1 
 Offered IP 10.75.66.91 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.192.0
-------------------------
Packet from 80.69.96.12 
 Relayed by 10.116.128.1 
 Offered IP 78.42.103.190 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.254.0
-------------------------
Packet from 5.220.255.0 
 Relayed by 10.116.128.1 
 Offered IP 91.89.184.89 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 91.89.184.106 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 91.89.180.171 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 5.220.255.0 
 Relayed by 10.116.128.1 
 Offered IP 46.5.167.20 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.254.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 78.42.102.45 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.254.0
-------------------------
Packet from 104.116.116.112 
 Relayed by 10.116.128.1 
 Offered IP 91.89.184.64 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
Packet from 5.220.255.0 
 Relayed by 10.116.128.1 
 Offered IP 91.89.181.201 
 Lease Length 3600 Seconds
 Subnet Mask 255.255.252.0
-------------------------
USWUSW

Die ganzen Anfragen kommen direkt aus dem Netz oder? Mir schwant als gäbe es hier ein massives Problem ..

Hättet Ihr eine Idee wie das Problem gelöst bekomme? WIe ich den DHCP Server abschalten bzw identifizieren kann?

Vielen Dank im Voraus.
Gruß Nico


Ps. Gesundes neues Jahr gewünscht.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 359609

Url: https://administrator.de/contentid/359609

Printed on: April 20, 2024 at 02:04 o'clock

5 Comments
Latest comment
Goto Top
Member: Kryolyt
Kryolyt Jan 02, 2018 at 10:00:11 (UTC)
Goto Top
Gesundes Neues!

Eines hab ich jetzt nicht verstanden: Du kennst das Gerät nicht, welches die IP 10.116.128.1 hat? Schließt du einen böswilligen Nutzer aus?

Hast du mal tcpdump oder einen anderen netzwerkmonitor laufen lassen? Was macht der DHCP genau, wie ist seine hwid, kennst du das Gerät doch?

Falls du einen managbaren switch oder einen Switch mit gewissen Sicherheitsfunktionen nutzt, schau bitte ob du die HWID oder IP des Geräts blacklisten kannst. Dies ist eine sehr temporäre Lösung, wenn es sich um einen böswilligen Nutzer handelt kann er das ja leider sehr einfach umgehen.
Member: StefanKittel
StefanKittel Jan 02, 2018 updated at 10:01:03 (UTC)
Goto Top
Moin,

vermutlich irgendein Router als WLAN AP.
über die Anzeige und ARP -a bekommst Du die MAC.
Damit weist Du den Hersteller und kannst auf Deinem managed Switch schauen wo das Gerät angeschlossen ist.

Ruf die IP mal im Browser auf. Vieleicht kommt ein Webinterface.

Stefan
Member: Yannosch
Yannosch Jan 02, 2018 at 10:03:52 (UTC)
Goto Top
Ich schließe mich @StefanKittel an.

Es ist wahrscheinlich ein AP/Router der DHCP enabled hat.

Hatte ich auch schonmal ... da ich aber nicht viele Clients hier habe ist das Problem schnell gefunden worden.
Member: aqui
aqui Jan 02, 2018 updated at 10:07:57 (UTC)
Goto Top
einen 2ten DHCP Server mit einer mir fremden IP: 10.116.128.1
Oha, böses Faul ! Das ist tödlich fürs Netz und endet dann in einem Adress Chaos denn jetzt gibt es einen Wettlauf zwischen gutem und bösen DHCP wer zuerst antwortet.
Bei DHCP ists wie beim Highlander: Es kann nur einen geben... !
Gute Netzwerker aktivieren deshalb IMMER das Feature DHCP Snooping auf dem Netzwerk Switch um sowas direkt zu unterbinden.
Das passiert z.B. wenn andere im Netz sich ihr eigenes WLAN "basteln" und einen WLAN Router anstöpseln wo der DHCP Server nicht ausgeschaltet ist. Es gibt zig solcher Szenarien. Zeugt immer das sich der netzwerk Admin wenig oder keine Gedanken gemacht hat bei der Netzwerk Planung face-sad

Das Problem kann man aber sehr leicht lösen.
Du nimmst dir den kostenlosen Wireshark Sniffer, und liest damit einen DHCP Prozess mit mit dem bösen DHCP Server. Anhand dessen Mac Adresse kannst du ihn dann eindeutig identifizieren und vom Netz trennen.
Am einfachsten ist es wenn du dazu deinen "richtigen" DHCP mal kurz abziehst und mit dem Wireshark Rechner selber DHCP machst und diesen DHCP Prozess dann gleich mit dem Wireshark mitsnifferst.
Antworten kann ja nur noch der böse DHCP wenn deiner mal kurz weg ist.
Dann hast du alles was du brauchst ! face-wink

Anhand der Mac Adresse des bösen DHCPs liest du über die Mac Adress Tabelle des Netzwerk Switches den Port aus an dem dieser Bösewicht steckt und kappst ihm dann die Verbindung.
Das sollte in 10 Minuten erledigt sein.
Danach aber DHCP Snooping auf dem Switch aktivieren damit das nicht wieder vorkommt !! face-wink
heart1
Member: nepixl
nepixl Jan 02, 2018 at 10:10:19 (UTC)
Goto Top
Oha, böses Faul !
Jap, eher nicht so schön.

Vielen Dank erstmal für euer Feedback.
Lt. Wireshark habe ich die MAC Adresse bereits gefunden. Muss nun mal schauen wo der Übeltäter steckt und warum er mir das leben schwer machen mag. face-smile

Melde mich sobald ich mehr rausbekommen habe.

Danke face-smile
GermanQuestionLAN, WAN, WirelessNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment