Se connecter / S'enregistrer
Votre question

Serveur DHCP pirate

Tags :
  • Adresse IP
  • Serveur
  • Internet
Dernière réponse : dans Internet
21 Décembre 2011 15:43:36

Bonjour à tous!

Dans mon entreprise nous rencontrons un problème qui devient très gênant....
Nous avons un serveur DHCP normal qui fonctionne très bien, mais depuis quelques temps les clients récupèrent des adresses qui ne sont pas de notre réseau logique. Il y a donc un serveur DHCP "pirate" (pirate est fort, mais je veux dire un serveur dhcp qui ne nous appartient pas...) Bref.

Je demande votre avis s'il est possible de bloquer un serveur DHCP. Car il ne cherche pas d'adresse ip donc le bannir ne changera rien... Puisque nos client vont demander qui peut me donner une adresse ip? Et comme par hasard le serveur DHCP "pirate" répond en premier. :s
Je reste curieux de trouver un moyen de remonter ce serveur? si vous avez des suggestions je suis preneur! :) 

Autres pages sur : serveur dhcp pirate

Anonyme
21 Décembre 2011 19:01:08

Bonjour

c'est l'exercice que je suis en train de traiter en ce moment.

Redirection sur des serveurs DNS de pirates qui modifient l'adresse IP de destination attribuée à un nom de domaine...
Y'a moyen en effet.

Je te conseille d'aller poster ta question ici: http://www.infos-du-net.com/forum/forum-11.html

La team des Helpers de Security-X va regarder de près :) 

Pas le niveau pour ma part encore, pitètre un jour :D , je suis capable de planter une machine avec un script mal établi :lol: , malgré tous les bons conseils de Maître Hyunkel30.

Bonne désinfection.
:jap: 
22 Décembre 2011 11:21:49

Alors pour information nous avons trouvé d'ou venait le problème.
Nous avons réussi à chopper l'adresse mac du serveur DHCP "pirate"... Ensuite nous avons chercher par switch sur quel port se trouvait cette adresse mac.
Après un après-midi de recherche, nous avons retrouvé le client sur lequel était installé vmware workstation en local. Malgrès que le logiciel n'était pas lancé, le paramètre DHCP était activé sur le vmnet de la carte physique du poste... (Je ne pourrais pas être beaucoup plus précis... :s) En effet des services réseau (vmware) sont lancés au démarrage de la machine...
L'utilisateur lui-même ne savait pas qu'il distribuait des adresses ip!

Mais je trouve ça un peu facile de pouvoir distribuer des adresses juste en connectant un serveur DHCP sur un réseau...
Enfin c'est logique... ^^
Contenus similaires
Anonyme
22 Décembre 2011 11:42:44

Super, l'important était de trouver. Ton explication est claire.
Je ne suis pas encore à la hauteur...

Mais sur un scan OTL, voici le genre ligne du registre que tu aurais pu observer en cas de détournement vers un serveur DNS foireux.
Citation :
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Interfaces\{77B11B95-ACF6-4AF0-994A-A7D2D7A800F6}\\NameServer = 85.255.***.***;85.255.***.***

et l'adresse IP donné ^ est celle d'un serveur DNS ukrainien frauduleux.
La bible HijackThis dit que c'est une redirection vers les serveurs de pirates. En fait, cette ligne change le serveur DNS de la machine, ce qui permet aux pirates de rediriger les personnes infectées vers les IP de leur choix ensuite, à partir des noms de domaines demandés.

Si tu peux faire passer un scan dans la section sécurité sur les machines qui déconnaient, les Helpers demanderont un log pour voir si tout est ok sur la machine.

Juste un truc, tu parles de serveur DHCP, qui donne une adresse IP locale à la machine entre autres, je pense que tu voulais dire serveur DNS dans ton explication...
Ou alors y'a un truc qui m'échappe...
Edit: c'est moi, c'est le serveur DHCP et tu ne parles pas de redirection, mais juste d'adresses IP données hors domaine...
Je ne vois pas pourquoi d'ailleurs, et à quoi cela sert aux mecs... Peut-être se construire un parc de machine zombies... Je sais pas.
Mais dans le cas d'une redirection, c'est bien le serveur DNS qui déconne, c'est à dire ce qui associe à un nom de domaine www.google.fr par ex son adresse IP suivante: 173.194.67.106, qu'on obtient avec un ping.
http://fr.wikipedia.org/wiki/Dynamic_Host_Configuration...
En tous les cas, sympa ton retour, et j'avais mal compris, je pensais que tu avais des soucis de redirection vers des mauvaises adresses, mais ce n'est pas cela, tu parles que d'adresses IP non valides données aux machine.
Autant pour moi.

RESOLU:
Spoiler

Penses à mettre "résolu" dans ton titre en éditant le premier message
Que cela aide ceux qui recherchent ensuite des solutions.



:jap: 
22 Décembre 2011 16:37:46

Anonyme a dit :
Super, l'important était de trouver. Ton explication est claire.
Je ne suis pas encore à la hauteur...

Mais sur un scan OTL, voici le genre ligne du registre que tu aurais pu observer en cas de détournement vers un serveur DNS foireux.
Citation :
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Interfaces\{77B11B95-ACF6-4AF0-994A-A7D2D7A800F6}\\NameServer = 85.255.***.***;85.255.***.***

et l'adresse IP donné ^ est celle d'un serveur DNS ukrainien frauduleux.
La bible HijackThis dit que c'est une redirection vers les serveurs de pirates. En fait, cette ligne change le serveur DNS de la machine, ce qui permet aux pirates de rediriger les personnes infectées vers les IP de leur choix ensuite, à partir des noms de domaines demandés.

Si tu peux faire passer un scan dans la section sécurité sur les machines qui déconnaient, les Helpers demanderont un log pour voir si tout est ok sur la machine.

Juste un truc, tu parles de serveur DHCP, qui donne une adresse IP locale à la machine entre autres, je pense que tu voulais dire serveur DNS dans ton explication...
Ou alors y'a un truc qui m'échappe...
Edit: c'est moi, c'est le serveur DHCP et tu ne parles pas de redirection, mais juste d'adresses IP données hors domaine...
Je ne vois pas pourquoi d'ailleurs, et à quoi cela sert aux mecs... Peut-être se construire un parc de machine zombies... Je sais pas.
Mais dans le cas d'une redirection, c'est bien le serveur DNS qui déconne, c'est à dire ce qui associe à un nom de domaine www.google.fr par ex son adresse IP suivante: 173.194.67.106, qu'on obtient avec un ping.
http://fr.wikipedia.org/wiki/Dynamic_Host_Configuration...
En tous les cas, sympa ton retour, et j'avais mal compris, je pensais que tu avais des soucis de redirection vers des mauvaises adresses, mais ce n'est pas cela, tu parles que d'adresses IP non valides données aux machine.
Autant pour moi.

RESOLU:
Spoiler

Penses à mettre "résolu" dans ton titre en éditant le premier message
Que cela aide ceux qui recherchent ensuite des solutions.



:jap: 

J'ai peut-être manqué de précision, mais je parle bien de DHCP, car lorsque tu boot un client (pour mon cas se sont des wyse). Il boot sur le réseau et envoi un broadcast, nos clients n'ont pas de règle et cherche le premier DHCP. Or pour certains clients il prenait le pool d'adresse du mauvais serveur DHCP (pirate) et non le notre.

Pour la petite info, nous avons des utilisateurs qui sont administrateurs de leur postes (nous avons aussi des ordinateur pour les desginers) et ont parfois des besoins spécifiques.
Et visiblement ils ont besoin de vmware workstation et ont activé de mauvais paramètre réseau. Son but n'était pas de nuir au réseau de l'entreprise...
Personelement je n'ai pas discuté avec le salarié.
Anonyme
22 Décembre 2011 16:54:17

Citation :
J'ai peut-être manqué de précision

Non non, c'est moi, j'ai relu, tu parlais bien d'un mauvais adressage IP et pas de redirection. Autant pour moi.
J'ai en effet regardé et vu un peu comment cela marchait.
Tu as identifié la raison, ce qui est l'essentiel.

L'installation de la VM avait mis en place un mauvais adressage pour le serveur DHCP donc.
Je ne sais pas du tout comment fonctionnent ces VM en terme d’adressage réseau, je n'aurais pas pu t'aider de toutes façons.

Que ce ne soit pas une attaque est l'essentiel, car ce n'est pas toujours facile à contrer.
RESOLU:
Spoiler

Penses à mettre "résolu" dans ton titre en éditant le premier message
Que cela aide ceux qui recherchent ensuite des solutions.


Bravo ! ;) 
Passes de joyeuses fêtes de Noël en tous les cas.

:jap: 

22 Décembre 2011 17:03:37

Ok pas de problème, oui c'est sur mais je n'étais pas seul à chercher! ^^
Ce qui était encore plus impressionnant, c'est qu'aucune VM n'était en route c un service réseau de vmware qui se lance au démarrage du pc sur la carte physique + un mauvais paramétrage. Ce qui a permis de diffuser un pool d'adresse ip...
J'ai vmware chez moi j'ai regardé un peu, mais je comprend pas trop encore... :s

Merci! Passe de bonnes fêtes aussi!
Anonyme
22 Décembre 2011 17:18:26

J'ai une VM sur ma machine, mais ce n'est pas celle-ci, dont je ne peux tester.
Je verrai bien sinon si elle squizze le serveur DHCP de free...

Merci, mais je crois qu'on va se recroiser, ton souci de panneau de config m'intéresse, cela doit toucher le registre si le process control.exe ne se lance pas.
Et fan des DELL, les conditions sont réunies pour que je t'aide à chercher :) 

@++
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS