Журналы DHCPD показывают ПК, запрашивающий IP-адреса от маршрутизатора, когда они выключены. Наши лог-файлы неверны?

Question

Журналы DHCPD показывают ПК, запрашивающий IP-адреса от маршрутизатора, когда они выключены. Наши лог-файлы неверны?

У нас небольшой офис, и при проверке журналов маршрутизатора я заметил, что некоторые компьютеры запрашивают IP-адрес у офисного маршрутизатора в нерабочее время.

Это вывод файла журнала:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

Сотрудники выключают свои компьютеры, когда заканчивают работу. Я подтвердил, что все зарегистрированные MAC-адреса, кроме двух, принадлежат компьютерам в нашем офисе.

Недавно у нас было нарушение безопасности. Сбрасываем роутер, все пароли администратора и пароли WiFi.

Возможно ли, чтобы эти компьютеры включали себя в нерабочее время и делали себя доступными для людей за пределами нашей сети?

8

networking security dhcp logfiles

Источник

bloopiebloopie 18 ноя '16 в 13:11

1 ответ

Решение

Другие вопросы по тегам networking security dhcp logfiles

Hennes 18 ноя '16 в 13:39 2016-11-18 13:39 · Accepted Answer · 2016-11-18 13:39

Задайте первый вопрос:

Возможно ли, что эти компьютеры поворачиваются сами…

Да, компьютеры могут сами включаться и уже давно имеют такую возможность. Для IBM-совместимых ПК это нормально, так как они получили блоки питания ATX. (С 1995 года). Если вы переходите к прошивке материнских плат (иначе BIOS или UEFI), у вас часто есть возможность настроить это. Очень полезно, если у вас есть старый компьютер и вы хотите, чтобы он включился и загрузился до того, как вы попали в офис.

Вторая часть вашего вопроса

... и сделать себя доступным для людей за пределами нашей сети?

не зависит от первой части. Если это происходит при включении компьютеров (независимо от того, включены они самостоятельно или нажатием кнопки питания), у вас возникла проблема. Если это так, то брешь в безопасности еще не устранена.

Наконец, если у вас есть MAC-адрес, вы можете просмотреть первые три байта. Они скажут вам, какие производители сделали сетевую карту, которая запрашивает IP. Это может помочь определить источник (например, только запросы DHCP с принтеров или с мобильных (личных?) Телефонов...

Я посмотрел адреса в вашем посте:

MAC-адреса, начинающиеся с F8:0F:41 или с 98:EE:CB принадлежат Wistron InfoComm. Согласно Википедии, эта фирма производит планшеты, мобильные телефоны и другие устройства под управлением Chrome OS.

MAC-адреса, начинающиеся с 64:EB:8C принадлежат корпорации Seiko Epson. Это могут быть принтеры (опять же, принтеры, вероятно, имеют собственный диапазон IP-адресов в офисе, хотя, возможно, с зарезервированным MAC-адресом → IP-адрес на DHCP-сервере).

MAC-адреса, начинающиеся с 4C:A1:61 принадлежат корпорации Rain Bird. Каждый поиск, который я проводил по этому имени, приводил к появлению спринклерной фирмы.

В заключение:

Наши лог-файлы неверны?

Я сомневаюсь, что. Кажется, что-то запрашивает информацию об IP. Это регистрируется. Нет ошибок в регистрации. Большая проблема в том, почему они делают это в нерабочее время? Существует ли спринклерная система для газонов, которая включена весь день (и которая, вероятно, должна быть включена круглосуточно)? Есть ли принтеры, которые не выключены, а вместо этого переходят в спящий режим? Существуют ли ноутбуки или ПК, которые не отключаются должным образом, но вместо этого переходят в режим пониженного энергопотребления (спящий режим), обнаруживают низкий уровень заряда батареи и включение питания для перехода в режим глубокого сна?

По сути, выясните, какое устройство (должно быть легко, у вас есть MAC и IP-адреса, так что вы можете либо использовать документацию, чтобы посмотреть, какие это ПК, либо использовать маршрутизатор, чтобы узнать, какое это устройство). Затем исследуйте дальше от последних устройств. (В случае компьютера с Windows попробуйте powercfg lastwake).