Podivné DHCP dotazy

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Nazdarek, v logu jsem zaznamenal neočekávané DHCP komunikaci. Co by to mohlo být? Tipuji že MAC adres jsou náhodné (alá android randomizace). A taky je mi divné, že sekvence DHCP končí vždy OFFER (nenásleduje Request&Ack)

adresy MAC mám v souboru dané direktivou dhcp-hostsfile=/...conf pro přehlednost, a toto jsou neznámé.

Poznáte (spíš podle charakteristiky), co by to mohlo být nebo jaký OS /stack se takhle chová? Třeba nějaká feature na detekci konektivity nějakého zařízení? Vtipné je, že 129.168.1/24 je skutečný rozsah sítě.

Víc jsem nedohledal v logzích.

Kód: [Vybrat]

23:50:17  dnsmasq-dhcp[569]: DHCPDISCOVER(eth0) 03:d7:75:fd:53:35
23:50:17  dnsmasq-dhcp[569]: DHCPOFFER(eth0) 192.168.1.113 03:d7:75:fd:53:35
23:50:20  dnsmasq-dhcp[569]: DHCPDISCOVER(eth0) 4a:72:e0:b9:91:1b
23:50:20  dnsmasq-dhcp[569]: DHCPOFFER(eth0) 192.168.1.87 4a:72:e0:b9:91:1b

00:13:19  dnsmasq-dhcp[569]: DHCPDISCOVER(eth0) d2:cb:bc:20:9c:03
00:13:19  dnsmasq-dhcp[569]: DHCPOFFER(eth0) 192.168.1.81 d2:cb:bc:20:9c:03
00:13:22  dnsmasq-dhcp[569]: DHCPDISCOVER(eth0) ad:15:86:9b:20:fc
00:13:22  dnsmasq-dhcp[569]: DHCPOFFER(eth0) 192.168.1.65 ad:15:86:9b:20:fc
00:13:25  dnsmasq-dhcp[569]: DHCPDISCOVER(eth0) 2b:f5:0f:66:45:75
00:13:25  dnsmasq-dhcp[569]: DHCPOFFER(eth0) 192.168.1.12 2b:f5:0f:66:45:75
00:13:28  dnsmasq-dhcp[569]: DHCPDISCOVER(eth0) ca:46:15:53:28:54
00:13:28  dnsmasq-dhcp[569]: DHCPOFFER(eth0) 192.168.1.96 ca:46:15:53:28:54


[Reklama]

[RDa]

A ty nevis co mas pripojeno v siti? v tom pripade to bude aktivni soused

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Myslíš to nějak vyčítavě? Připojoval jsem asi v tu dobu NAS, který ale svou MAC má a taky nějaký mini PC board(kterýmu ale divně šla síť, se zapojeným kabelem eth0 bylo po startu down, sice ipv6 mělo a aleipv4 ne, ale taky si myslím že mac addr má stabilní.)
Vím a nevím, Ten seznam čítá asi 20 položek, žádný opatření (mac whitelist) extra monitoring nedělám nebo DHCP snooping(jestli se tím myslí, implicitní blokace ip pokud neprojde přes dhcp server)... Samozřejmě prolítnout journalctl |grep DHCP.+ mohu a taky jsem z toho čerpal. Pokud by se mi  něco ale připojovalo staticky, tak se to nikde neobjeví (kromě arp, kde se to objevilo a byl to impuls k dotazu )

Ale to podezření nedává smysl, jaké zařízení by dělalo jenom dhcp discover  a nic (dhcp-related) dál? Po Offer už tam nic není

Jo, podíval jsem se i  do logu ACCESSPOINTU (jelikož to je nějaká consumer krabička v roli switche+bridge ; brána&dhcp běží na linuxu najiném mikropočítači), ale nic nevyčetl, wifi záložka má jen a současné associace wlan mac adres (bez vazby na ip) a general log hlásí jen nějaké discovery ADSL(to nepoužívám)

Vtipné je, že 192.168.1/24 je skutečný rozsah sítě.

Jo a na závěr se musím opravit, v úvodním postu jsem se dopustil mea-culpa. Tak je logické, že   192.168.1/24  je správný rozsah sítě (přesněji IP z rozsahu), který dnsmasq nabízí...


Napadá mě třeba ip link flush addr, ale takový příkaz neexistuje

[aaa158]

Mimochodom, MAC vendor lookup hlasi vsetky adresy ako "No Vendor Exists", to vyzera ozaj na randomizovane MAC.

[RDa]

Myslim to tak, ze neni nic jednodussiho, nez power-cyclovat vsechna zarizeni (at uz za sebou, nebo binarni postoupnou aproximaci) a lehce odhalis toho potizistu.

[Reklama]

[Ivan Brezina]

Ale to podezření nedává smysl, jaké zařízení by dělalo jenom dhcp discover  a nic (dhcp-related) dál? Po Offer už tam nic není

Muze se stat cokoliv. Je mozne ze odpoved k cili nedorazi. Uz jsem zazil i situace kdy Cisco switch vkladal do DHCP requestu Option82(dodatecne informace) a nazpatek chodil DHCPOFFER delsi nez 300B a nejaky security "ksindl" po ceste takove packety povazoval za nebezpecne a zahazoval je.

[Karmelos]

Mám jen takový hint - dost velký bordel dělají v síti televize nebo setopboxy. Hledají, čuchají všecky možné zdroje, nehledě na snahu procpat se ven pro updaty či odesílat bůchví čeho bůchví kam.

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Tak zrovna tv mam osetrenou(nutne routeru priradit druhou IP s druhym http serverem ktery tupe vraci odpovedi na kontrolu pripojeni internetu nebo co ja vim uz, protoze mit ji odstrizenou od internetu neproslo, proste ten youtube {s neblokovatelnymi reklamami} tam musi byt), tudiz ma stejnou MAC a rucni DHCP, prirazenou IP, odklonene DNS prave na druhou IP routeru (na stejnem eth0 jako do site).


Jedine co se mi nepovedlo jednoduse udelat ,  v dnsmasq nastavit specificke DNSodpovedi pro konkretni zdrojovou ip(pro ostatni vracetneupraveny), v praxi to ale neni konflikt . jasne mohl bych rozjet druhou instanci dns serveru...


Mam.lehke podezreni  (zůstává)ze by to mohl bytnejakz odroid, ktery jsem v tu dobu pripojoval, ale ten ukazuje v logu i (dhcp-like)hostname... Zkusim potvrdit, ale nepresvedcili me to od zacatku

[František Ryšánek]

Tohle chce používat "nehloupé" aktivní prvky. Managed switch se schopností port mirroringu, jako wifinu něco rozumného co umí čmuchat (OpenWRT nebo tuším Mikrotik). Nebo mít pasivní odposlechové sondy na všechna média - ale třeba wifina šifrovaná WPA moc odposlouchávat nejde (se člověk dozví jenom MAC adresu). Nakonec souhlasím s RDa: všecko vypnout a postupně přifázovat (nebo si pomoci půlením intervalu, začít od podezřelých apod).