Warum wollen andere meine DHCP Server nutzen?

19/02/2012 - 02:08 von Andreas Kohlbach | Report spam
Mehr durch Zufall fand im in meinen Logs ein paar Eintràge, die
entstanden, als ich in einem öffentlichen WLAN Hotspot war.

Ich war mit dem WLAN Router verbunden, und die anderen um mich herum
auch. Meine IP war IIRC 192.168.2.107 , die des Routers (das Gateway)
192.168.2.1 . Aber ich hatte versehentlich meinen DHCP Server laufen, der
auf 192.168.7.0 ("7" also nicht "2") lauscht. Ich fand Eintràge wie (die
Mac Adressen und Computernamen habe ich mal entstellt):

dhcpd: DHCPDISCOVER from 00:26:b0:7c:xx:yy via wlan0
dhcpd: DHCPOFFER on 192.168.7.3 to 00:26:b0:7c:xx:yy (iphonies) via wlan0
dhcpd: DHCPREQUEST for 192.168.2.92 from 58:1f:aa:6a:xx:yy via wlan0: ignored (not authoritative).
dhcpd: DHCPREQUEST for 192.168.2.108 (192.168.2.1) from 00:26:b0:7c:xx:yy via wlan0: ignored (not authoritative).

[...]

dhcpd: DHCPREQUEST for 192.168.1.123 from 10:9a:dd:01:xx:yy via wlan0: ignored (not authoritative).
dhcpd: DHCPDISCOVER from 10:9a:dd:01:xx:yy via wlan0
dhcpd: DHCPOFFER on 192.168.7.5 to 10:9a:dd:01:xx:yy (bloodymarry) via wlan0
dhcpd: DHCPREQUEST for 192.168.2.24 from 8c:77:12:a8:xx:yy via wlan0: unknown lease 192.168.2.24.
dhcpd: DHCPREQUEST for 192.168.2.112 (192.168.2.1) from 10:9a:dd:01:xx:yy via wlan0: ignored (not authoritative).

und viele andere. Das waren i.d.R. Windows oder Mac Notebooks, oder
mobile Geràte wie iPhones, iPads oder andere Tablets.

Was ich nicht verstehe ist, warum sollten die, wenn bereits erfolgreich
mit dem Router verbunden, bei mir nach einer IP (DHCPDISCOVER) anfragen?
Zumal ja alle Devices im managed-mode laufen sollten, also nicht adhoc.

Auf jeden Falls interessant zu sehen, was sich da so tummelt. :-)
Andreas
Linux: The choice of a GNU generation.
 

Lesen sie die antworten

#1 Sven Hartge
19/02/2012 - 08:18 | Warnen spam
Andreas Kohlbach wrote:

Mehr durch Zufall fand im in meinen Logs ein paar Eintràge, die
entstanden, als ich in einem öffentlichen WLAN Hotspot war.

Ich war mit dem WLAN Router verbunden, und die anderen um mich herum
auch. Meine IP war IIRC 192.168.2.107 , die des Routers (das Gateway)
192.168.2.1 . Aber ich hatte versehentlich meinen DHCP Server laufen,
der auf 192.168.7.0 ("7" also nicht "2") lauscht. Ich fand Eintràge
wie (die Mac Adressen und Computernamen habe ich mal entstellt):

dhcpd: DHCPDISCOVER from 00:26:b0:7c:xx:yy via wlan0
dhcpd: DHCPOFFER on 192.168.7.3 to 00:26:b0:7c:xx:yy (iphonies) via wlan0

und viele andere. Das waren i.d.R. Windows oder Mac Notebooks, oder
mobile Geràte wie iPhones, iPads oder andere Tablets.

Was ich nicht verstehe ist, warum sollten die, wenn bereits
erfolgreich mit dem Router verbunden, bei mir nach einer IP
(DHCPDISCOVER) anfragen? Zumal ja alle Devices im managed-mode laufen
sollten, also nicht adhoc.



Warum sollten Sie nicht? Das Vorhandensein einer Verbindung via WLAN,
also auf Ethernet-Ebene, ist ja unabhàngig von weiteren, darüber
laufenden Protokollen.

Mit Adhoc oder Managed hat das auch nichts zu tun.

Ich kann ja auch IPX oder IPv6 oder PPPoE via WLAN machen oder meine IP
selbst vergeben, wenn ich lustig bin. Ja, ich habe sogar schon einmal
ATA-over-Ethernet via WLAN gemacht. Geht alles, wobei letzteres nicht zu
empfehlen ist ;)

Und wenn dein DHCP-Server nun schneller antwortet als der aus dem
Router, dann "gewinnt" dieser eben und führt die Clients in die Irre.

Auch eine "gute" Möglichkeit, eine MitM-Atacke zu fahren: DHCP-Server
aufmachen, selbst IPs vergeben und dann den Traffic über den eigenen
Rechner leiten und mitsniffen.

Gut konfigurierte WLAN-Hotspots filtern solchen Traffic inkl. aller
Broadcasts ausser ARP-Anfragen gleich weg, um dieses zu verhindern.

Geht allerdings nur mit WPA-Enterprise und nicht mit WPA-PSK oder gar
offenen WLANs (Und warum dass mit PSK nicht aber mit WPA-Enterprise
schon geht, dass überlasse ich als Übung zur eigenen Überlegung dem
geneigten Leser.)



Sigmentation fault. Core dumped.

Ähnliche fragen