DHCPD日志显示PC关闭时从路由器请求的PC IP地址。我们的日志文件不正确吗?

7

我们有一个小型办公室,在检查路由器日志时,我注意到有许多计算机在工作时间以外从办公室路由器请求IP地址。

这是日志文件输出:

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

员工在完成工作后关闭计算机。我已经确认,除了两个记录的MAC地址外,所有其他MAC地址都属于我们办公室中的计算机。

我们最近发生了安全漏洞。我们重置路由器,所有管理员密码和WiFi密码。

这些计算机是否有可能在工作时间以外打开自己的电源,并让我们网络之外的人可以访问它们?

networking  security  dhcp  logfiles 
bloopiebloopie
source

Answers:

7

询问第一个问题:

这些计算机可能会自己转动吗?…

是的,计算机可以自行开启,并且具有这种功能已有很长时间了。对于IBM兼容PC,这是正常现象,因为它们具有ATX PSU。(大约从1995年开始)。如果您使用主板固件(又名BIOS或UEFI),则通常可以选择配置它。如果您有一台旧PC,并希望在到达办公室之前先开机并引导它,这将非常有用。

问题的第二部分

……并使自己被网络外的人访问?

与第一部分无关。如果在计算机开机时发生这种情况(无论它们是自行开机还是按电源按钮开机),那么您就遇到问题了。如果是这种情况,那么尚未解决安全漏洞。

最后,如果您获得了MAC地址,则可以查看前三个字节。他们将告诉您哪些制造商制造了请求IP的网卡。这可以帮助识别来源(例如,仅来自打印机或移动(个人?)电话的DHCP请求...

我查找了您帖子中的地址:

F8:0F:41或以开头的MAC地址98:EE:CB属于Wistron InfoComm。根据Wikipedia的说法,该公司生产的平板电脑,手机和其他运行Chrome操作系统的设备

开头的MAC地址64:EB:8C属于Seiko Epson Corporation。这些可能是打印机(然后,打印机可能在办公室中拥有自己的IP范围,尽管在DHCP服务器上可能具有保留的MAC→IP)。

开头的MAC地址4C:A1:61属于Rain Bird Corporation。我对这个名字所做的每一次搜索都产生了一个喷水灭火公司。

最后:

我们的日志文件不正确吗?

我不信。似乎有些请求IP信息。这正在被记录。日志记录中没有错误。更大的问题是,为什么他们在下班时间这样做?是否有草坪洒水系统全天通电(大概应该是24/7全天候)?是否有没有关闭电源但进入睡眠模式的打印机?是否有笔记本电脑或PC没有被正确关闭,而是进入了低功耗(睡眠?)模式,检测到电池电量低并加电以进入深度睡眠模式?

基本上,找出哪台设备(应该很容易,您已经获得了MAC和IP,因此您可以使用文档查找它是哪台PC,或者使用路由器来找出它是哪台设备)。然后,从最后的设备进一步研究。(如果是Windows计算机,请尝试powercfg lastwake)。

海恩斯
source
除了我最近了解到可以更改MAC地址外。Comcast经常在其路由器/调制解调器上执行此操作。
DocSalvager '16
MAC地址通常内置在NIC ROM中。许多NIC从此复制到其工作空间,从而允许您更改它。但是,如果更改了它,那么更改它就成为了人们的工作,以100%确保它在局域网上是唯一的。仅当您控制该LAN上的所有[潜在]设备时才能执行此操作。由于这没有优势,只会带来潜在的问题,因此没有充分的理由更改MAC。
Hennes
也许我不应该扩大“没有充分的理由”。有两个例外:ARP中毒攻击(作为攻击者),以及几十年前的电缆调制解调器ISP每个电缆调制解调器仅支持一台PC。这是通过仅允许来自单个MAC的访问来完成的。据我所知,过去几十年来一直没有使用过它,因此任何变通方法都可能来自于过时的指南。至于comcast,他们是要更改其MAC还是更改其设备(包括其MAC)。后者似乎更有可能,并且可能是由于某些负载平衡所致。
Hennes
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.