DHCPDログは、オフになっている場合、ルーターからのPCの要求IPアドレスを示します。ログファイルが正しくありませんか?


7

小さなオフィスがあり、ルーターのログを確認したところ、営業時間外に多くのコンピューターがオフィスのルーターにIPアドレスを要求していることに気付きました。

これはログファイルの出力です。

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

従業員は仕事が終わったらコンピューターの電源を切ります。ログに記録されたMACアドレスのうち2つを除くすべてがオフィスのコンピューターに属していることを確認しました。

最近、セキュリティ違反がありました。ルーター、すべての管理者パスワードおよびWiFiパスワードをリセットします。

これらのコンピューターが営業時間外に起動し、ネットワーク外のユーザーがコンピューターにアクセスできるようになる可能性はありますか?

回答:


7

最初に尋ねられた質問をする:

これらのコンピュータが自分自身を変えている可能性はありますか…

はい、コンピュータは自分で電源を入れることができ、この機能は古くからありました。IBM互換PCの場合、ATX PSUを取得しているため、これは正常です。(1995年以降)。マザーボードのファームウェア(別名BIOSまたはUEFI)にアクセスする場合、多くの場合、これを構成するオプションがあります。古いPCを使用していて、オフィスに行く前に電源を入れて起動したい場合に非常に便利です。


質問の後半

…そして私たちのネットワーク外の人々が自分自身にアクセスできるようにしますか?

最初の部分から独立しています。コンピューターの電源がオンになったときにそれが発生した場合(コンピューター自体の電源がオンになっているか、電源ボタンを押して電源がオンになっているかに関係なく)、問題が発生しています。その場合、セキュリティ違反はまだ修正されていません。


最後に、MACアドレスを取得した場合は、最初の3バイトを調べることができます。彼らは、IPを要求しているネットワークカードを製造したメーカーを教えてくれます。これは、ソースを識別するのに役立ちます(たとえば、プリンターから、または携帯電話(個人用?)の電話からのDHCP要求のみ…)

私はあなたの投稿で住所を調べました:

F8:0F:41またはで始まるMACアドレスはWistron InfoCommに98:EE:CB属しています。ウィキペディアによると、この会社はタブレット、携帯電話、その他Chrome OSを実行するデバイスを製造しています

で始まるMACアドレスは64:EB:8CSeiko Epson Corporationに属しています。それらはプリンターである可能性があります(この場合も、プリンターはおそらくオフィスに独自のIP範囲を持っていますが、DHCPサーバーで予約済みのMAC→IPを使用している可能性があります)。

で始まるMACアドレスは4C:A1:61Rain Bird Corporationに属しています。その名前で私が行ったすべての検索の結果、スプリンクラー会社が見つかりました。


最終的に:

ログファイルは間違っていますか?

私はそれを疑います。何かがIP情報を要求しているようです。これはログに記録されています。ログに障害はありません。より大きな問題は、なぜ彼らが営業時間外にそれをしているのですか?一日中稼働している芝生のスプリンクラーシステムはありますか(おそらく24時間365日稼働しているはずです)?電源がオフではなくスリープモードになるプリンターはありますか?正しくオフにならないが、代わりに低電力(スリープ?)モードに移行し、バッテリー低下を検出してディープスリープモードに移行するラップトップまたはPCはありますか?

基本的に、どのデバイスかを見つけます(簡単なはずです。MACとIPを取得しているので、ドキュメントを使用して、どのPCかを調べるか、ルーターを使用して、どのデバイスかを確認できます)。次に、その最後のデバイスからさらに調査します。(Windowsコンピュータの場合はを試してくださいpowercfg lastwake)。


ただし、最近MACアドレスを変更できることを知りました。Comcastはルーター/モデムでこれを頻繁に行います。
DocSalvager 2016年

通常、MACアドレスはNIC ROMに組み込まれています。多くのNICはこれから作業スペースにコピーするので、これを変更できます。しかし、それが変更された場合、LANで一意であることを100%確認するのは変更者の仕事になります。これは、そのLAN上のすべての[潜在的な]デバイスを制御する場合にのみ実行できます。これには利点がなく、潜在的な問題が発生するだけなので、MACを変更する理由はありません。
Hennes、2016年

多分私は「正当な理由なし」を拡大すべきではない。2つの例外があります。ARPポイズニング攻撃(攻撃者として)、および数十年前のケーブルモデムISPは、ケーブルモデムごとに1台のPCしかサポートしていませんでした。これは、単一のMACからのアクセスのみを許可することによって行われました。私が知っているfgarは過去数十年間使用されていなかったので、そのための回避策はおそらく古いガイドによるものです。コムキャストに関しては、彼らは彼らのMACまたは彼らのデバイス(そのMACを含む)を変えていますか?後者はより可能性が高いように思われ、いくつかのロードバランシングが原因である可能性があります。
Hennes、2016年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.