OT: Zajímavost s DHCP

Pavel Troller patrol na sinus.cz
Sobota Duben 24 20:12:05 CEST 2010


> On Sat, 24 Apr 2010, Pavel Troller wrote:
>
>> resolv.conf a nevěřil jsem svým očím - byl zcela změněn. Byly tam nastaveny
>> 2 mně zcela neznámé DNS (bohužel jsem si je nepoznamenal před tím, než jsem
>> tento soubor obnovil) a doména byla nastavena na hodnotu none.de, jakož i
>> direktiva search. Doménu none.de neznám a nikdy jsem s ní neměl sebemenší
>> interakci :-). Kupodivu však existuje. Její DNS však nejsou těmi, které jsem
>> měl nastaveny v resolv.conf.
>>  Tou dobou byl k téže WiFi připojen ještě jeden notebook mé dcery, se stejným
>> OS, který však takto zasažen nebyl. Používá ale odlišnou verzi dhcpcd, trošku
>> novější.
>
>>  Provedl jsem průzkum všech komponent v cestě (notebooku, WiFi AP, routeru,
>> WiFi AP clienta a routeru v Praze) a nikde jsem neshledal nic podezřelého -
>> stopy průniku, změnu dat atd. Zajímavé také je, že se změnilo nastavení DNS,
>> ale IP adresa zůstala nastavena správně.
>>  Pak jsem provokativně znovu spustil dhcpcd bez parametru -R, bude-li se
>> situace opakovat. Dosud k tomu nedošlo.
>>  Tuší někdo, jak k tomu mohlo dojít ? Já to skutečně zatím nechápu :-).
>
> Mohlo by to byt nejake zarizeni v lokalni siti ktere je nakazene virem
> a chova se jako dhcp server a dal odpoved Vasemu notebooku driv. Neloguje
> ten dhcp klient od koho co dostal ? Pisete ze pouzivate linux, kdyby to
> byly windows tak bych si hned tipnul notebook dcery :-)
>
Zdravím,
  no to je právě velmi zvláštní. Lokální síť (WiFi) obsahovala tou dobou 
přesně 5 připojených zařízení:
  - můj ntb
  - dceřin ntb (jeho Linux mám rovněž na svědomí já, ručím za něj).
  - dceřin Ipod Touch
  - mé 2 telefony Nokia (E90 a N86)
  Zdá se mi nepravděpodobné, že by nějaké z těchto zařízení bylo napadeno
a běžel na něm fake DHCP server. Ten WiFi AP je chráněn relativně netriviálním
WPA/TKIP heslem a signál zaniká pár desítek m kolem chalupy, kdyby to někdo
hackoval, musel bych ho vidět :-).
  Napadlo mne ale, zda neexistuje nějaký druh útoku pomocí rozesílání fake
DHCP responses. Je možné, že pokud takový paket by přišel od ISP (při
přihlašování k němu se DHCP nepoužívá, je tam statická veřejná IP), mohl jej
ten router přeposlat dál (přeposílá pakety jak z primárního připojení, tak
z toho šifrovaného tunelu) a tím by se ten paket mohl dostat až do té lokální
WiFi a ten můj dhcpcd na něj mohl omylem zareagovat...
  Ten dhcpcd by default neloguje běžný provoz, ale je pravdou, že z dnešního
dopoledne vidím v logu message
Apr 24 09:58:44 miro dhcpcd[32212]: DHCP_NAK server response received
a byla to právě ta instance, kterou jsem pak musel killnout a pustit znova.
Tuto zprávu mám za několik posledních let v logu asi 3x, nepatří rozhodně
mezi běžné, takže s tím asi nějak souvisí.
  Zdraví Pavel.


More information about the Hw-list mailing list