บันทึก DHCPD แสดงที่อยู่ IP ที่ร้องขอของพีซีจากเราเตอร์เมื่อปิดใช้งาน ไฟล์บันทึกของเราไม่ถูกต้องหรือไม่


7

เรามีสำนักงานขนาดเล็กและในการตรวจสอบบันทึกของเราเตอร์ฉันสังเกตเห็นว่ามีคอมพิวเตอร์จำนวนหนึ่งร้องขอที่อยู่ IP จากเราเตอร์สำนักงานนอกเวลาทำการ

นี่เป็นเอาต์พุตไฟล์บันทึก:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

พนักงานปิดเครื่องคอมพิวเตอร์เมื่อทำงานเสร็จ ฉันยืนยันว่าที่อยู่ MAC ที่บันทึกไว้ทั้งหมดสองรายการเป็นของคอมพิวเตอร์ในสำนักงานของเรา

เราเพิ่งมีการละเมิดความปลอดภัย เรารีเซ็ตเราเตอร์รหัสผ่านผู้ดูแลระบบและรหัสผ่าน WiFi ทั้งหมด

เป็นไปได้ไหมว่าคอมพิวเตอร์เหล่านี้สามารถเปิดตัวเองนอกเวลาทำการและทำให้ผู้คนที่อยู่นอกเครือข่ายของเราสามารถเข้าถึงตนเองได้

คำตอบ:


7

ถามคำถามแรกที่ถาม:

เป็นไปได้ไหมว่าคอมพิวเตอร์เหล่านี้สามารถเปลี่ยนตัวเองได้ ...

ใช่คอมพิวเตอร์สามารถเปิดได้และมีความสามารถนี้มานานแล้ว สำหรับพีซีที่ใช้งานร่วมกับ IBM ได้เป็นเรื่องปกติเนื่องจากได้รับ ATX PSU (เกี่ยวกับตั้งแต่ปี 1995) หากคุณไปที่เฟิร์มแวร์มาเธอร์บอร์ด (aka BIOS หรือ UEFI) คุณมักจะมีตัวเลือกกำหนดค่านี้ ค่อนข้างมีประโยชน์หากคุณมีพีซีเก่าและต้องการให้เปิดเครื่องและบู๊ตก่อนที่คุณจะไปที่สำนักงาน


ส่วนที่สองของคำถามของคุณ

... และทำให้พวกเขาสามารถเข้าถึงตัวบุคคลภายนอกเครือข่ายของเราได้หรือไม่

เป็นอิสระจากส่วนแรก หากเกิดขึ้นเมื่อคอมพิวเตอร์เปิดเครื่อง (ไม่ว่าจะเปิดเครื่องด้วยตนเองหรือโดยคุณกดปุ่มเปิดปิด) คุณก็จะพบปัญหา หากเป็นเช่นนั้นการละเมิดความปลอดภัยยังไม่ได้รับการแก้ไข


สุดท้ายหากคุณมีที่อยู่ MAC คุณสามารถดูสามไบต์แรกได้ พวกเขาจะบอกคุณว่าผู้ผลิตรายใดทำการ์ดเครือข่ายที่ขอ IP สิ่งนี้สามารถช่วยในการระบุแหล่งที่มา (เช่นเฉพาะ DHCP reqs จากเครื่องพิมพ์หรือจากโทรศัพท์มือถือ (ส่วนบุคคล?) ...

ฉันค้นหาที่อยู่ในโพสต์ของคุณ:

ที่อยู่ MAC เริ่มต้นด้วยF8:0F:41หรือ98:EE:CBอยู่ในWistron InfoComm ตามที่วิกิพีเดีย บริษัท นี้ทำให้แท็บเล็ตโทรศัพท์มือถือและอุปกรณ์อื่นที่ใช้งาน Chrome OS

ที่อยู่ MAC ที่ขึ้นต้นด้วย64:EB:8Cสมาชิกของ Seiko Epson Corporation สิ่งเหล่านั้นอาจเป็นเครื่องพิมพ์ (จากนั้นอีกครั้งเครื่องพิมพ์อาจมีช่วง IP ของตนเองในสำนักงานแม้ว่าอาจมีการสำรอง MAC → IP บนเซิร์ฟเวอร์ DHCP)

ที่อยู่ MAC ที่ขึ้นต้นด้วย4C:A1:61เป็นของ Rain Bird Corporation การค้นหาทุกครั้งที่ฉันทำในชื่อนั้นส่งผลให้ บริษัท สปริงเกลอร์


สุดท้าย:

ไฟล์บันทึกข้อมูลของเราไม่ถูกต้องหรือไม่

ฉันสงสัย. ดูเหมือนว่ามีบางสิ่งที่กำลังร้องขอข้อมูล IP นี่กำลังถูกบันทึก ไม่มีความผิดพลาดในการบันทึก ปัญหาใหญ่คือทำไมพวกเขาทำนอกเวลาทำงาน มีระบบสปริงเกอร์สนามหญ้าที่เปิดอยู่ตลอดทั้งวันหรือไม่ มีเครื่องพิมพ์ที่ไม่ได้ปิด แต่แทนที่จะไปที่โหมดสลีปหรือไม่ มีแล็ปท็อปหรือพีซีที่ไม่ได้ปิดอย่างถูกต้อง แต่จะไปที่โหมดพลังงานต่ำ (สลีป?) ตรวจหาแบตเตอรี่ต่ำและเปิดเครื่องเพื่อไปยังโหมดสลีปลึก

โดยทั่วไปค้นหาว่าอุปกรณ์ใด (ควรเป็นเรื่องง่ายคุณมี MAC และ IP ดังนั้นคุณสามารถใช้เอกสารเพื่อค้นหาว่าเป็นพีซีหรือใช้เราเตอร์เพื่อค้นหาว่าเป็นอุปกรณ์ใด) จากนั้นทำการวิจัยเพิ่มเติมจากอุปกรณ์ตัวสุดท้าย (ในกรณีที่ลองใช้คอมพิวเตอร์ Windows powercfg lastwake)


ยกเว้นว่าฉันเพิ่งเรียนรู้ว่าที่อยู่ MAC สามารถเปลี่ยนแปลงได้ Comcast ทำเช่นนี้บ่อยครั้งในเราเตอร์ / โมเด็ม
DocSalvager

โดยปกติแล้วที่อยู่ MAC จะถูกสร้างลงใน ROM ของ NIC นิคส์จำนวนมากคัดลอกจากที่นี่ไปยังพื้นที่ทำงานของพวกเขาเพื่อให้คุณสามารถเปลี่ยนแปลงได้ แต่ถ้ามันเปลี่ยนไปมันจะกลายเป็นงานของคนที่เปลี่ยนมันเพื่อให้แน่ใจ 100% ว่ามันไม่เหมือนใครใน LAN ซึ่งคุณสามารถทำได้หากคุณควบคุมอุปกรณ์ที่มีศักยภาพทั้งหมดใน LAN นั้น เนื่องจากสิ่งนี้ไม่มีข้อได้เปรียบและสร้างปัญหาที่อาจเกิดขึ้นเท่านั้นจึงไม่มีเหตุผลที่ดีที่จะเปลี่ยน MAC
Hennes

บางทีฉันควรขยายไม่มี 'ไม่มีเหตุผลที่ดี' มีข้อยกเว้นสองประการ: การโจมตีเป็นพิษ ARP (ในฐานะผู้โจมตี) และไม่กี่ทศวรรษที่ผ่านมาเคเบิลโมเด็ม ISPs รองรับพีซีเพียงเครื่องเดียวต่อโมเด็มเคเบิล ทำโดยอนุญาตให้เข้าถึงได้จาก MAC เครื่องเดียวเท่านั้น ฉันรู้ว่าสิ่งนี้ไม่ได้ถูกนำมาใช้ในทศวรรษที่ผ่านมาดังนั้นการแก้ไขใด ๆ สำหรับสิ่งนั้นอาจมาจากคำแนะนำที่ล้าสมัย สำหรับ Comcast พวกเขาเปลี่ยน MAC หรืออุปกรณ์ของพวกเขา (รวมถึง MAC) หลังดูมีแนวโน้มมากขึ้นและอาจเนื่องมาจากการทำโหลดบาลานซ์
Hennes
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.