那些遇到过的问题

DHCPD 日志显示 PC 在路由器关闭时从路由器请求 IP 地址。我们的日志文件不正确吗?

blo*_*pie 7 networking security dhcp logfiles

我们有一个小办公室,在检查路由器日志时,我注意到许多计算机在工作时间以外从办公室路由器请求了 IP 地址。

这是日志文件输出:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2
Run Code Online (Sandbox Code Playgroud)

员工完成工作后关掉电脑。我已经确认,除了两个记录的 MAC 地址之外,所有其他地址都属于我们办公室的计算机。

我们最近遇到了安全漏洞。我们重置了路由器、所有管理员密码和 WiFi 密码。

这些计算机是否有可能在工作时间之外自动开启,并让我们网络之外的人可以访问它们?

Hen*_*nes 7

问第一个问题:

这些计算机有没有可能自己转……

是的,计算机可以自动启动,并且已经拥有这种能力多年了。对于 IBM 兼容 PC,这是正常的,因为它们有 ATX PSU。(大约自 1995 年以来)。如果您转到主板固件(又名 BIOS 或 UEFI),您通常可以选择配置它。如果您有一台旧 PC 并希望它在您到达办公室之前启动并启动,则非常有用。

你问题的第二部分

......并让我们网络之外的人可以访问自己?

独立于第一部分。如果在计算机开机时发生这种情况(无论它们是自行开机还是您按电源按钮开机),那么您就有问题了。如果是这种情况,则安全漏洞尚未修复。

最后,如果您获得了 MAC 地址,那么您可以查看前三个字节。他们会告诉您哪些制造商制造了请求 IP 的网卡。这可以帮助识别来源(例如,仅来自打印机或移动(个人?)电话的 DHCP 请求......

我查了一下你帖子里的地址:

F8:0F:41或开头的 MAC 地址98:EE:CB属于纬创资通。根据维基百科,这家公司生产运行 Chrome OS 的平板电脑、手机和其他设备

64:EB:8C以开头的 MAC 地址属于精工爱普生公司。那些可能是打印机(再说一次,打印机可能在办公室有自己的 IP 范围,尽管可能在 DHCP 服务器上有保留的 MAC?IP)。

4C:A1:61以开头的 MAC 地址属于雨鸟公司。我对这个名字所做的每一次搜索都导致了一家洒水公司。

最后:

我们的日志文件不正确吗?

我不信。有些东西似乎在请求 IP 信息。这是正在记录。记录中没有错误。更大的问题是他们为什么要在非办公时间这样做?是否有一个全天通电的草坪喷水灭火系统(并且可能应该是 24/7)?是否有没有关闭电源而是进入睡眠模式的打印机?是否有笔记本电脑或 PC 无法正常关闭,而是进入低功耗(睡眠?)模式,检测到电池电量不足并启动以进入深度睡眠模式?

基本上,找出哪个设备(应该很容易,你有 MAC 和 IP,所以你可以使用文档来查找它是哪些 PC,或者使用路由器来找出它是哪个设备)。然后从最后一个设备进一步研究。(在 Windows 计算机的情况下尝试powercfg lastwake)。

归档时间:

查看次数:

1586 次

最近记录:

8 年,9 月 前
相关归档
如何在 Cygwin 中转到远程目录? 57
是什么使 PC 能够成为 Web 服务器,又是什么使其不能? 44
我如何知道是否有人在 Windows 7 中登录了我的帐户? 13
如何修复网络连接在启动时死机,但在禁用/启用后还好? 11
新建筑安装 10G 以太网需要指定什么? 8
Dropbox 造成的安全威胁? 7
如何产生广播风暴? 6
Hyper-V 来宾主机名无法在本地网络中解析 6
允许一个 Windows 用户只执行 2 个应用程序 3
千兆以太网上的 USB 3.0 1
难疑归档
使用 ffmpeg 剪切视频 518
什么是 ssh-keygen 产生的 randomart? 410
如何退出 SSH 连接? 350
Windows 10 搜索找不到任何应用程序。连计算器 198
我怎样才能让 ffmpeg 更安静/更简洁? 198
来自我的(第三台)电脑的两个远程主机之间的 scp 184
如何通过 SSH 隧道传输我的所有网络流量? 137
如何更改 AWS 实例上的默认 shell? 128
有没有办法在 Mac OS X 上收听输入声音? 112
连接到 Cisco VPN 时如何允许本地 LAN 访问? 102