web-dev-qa-db-ja.com

DHCPDログには、PCがオフになっているときにルーターからIPアドレスを要求していることが示されます。ログファイルは正しくありませんか?

小規模オフィスがあり、ルーターのログを確認したところ、営業時間外に多くのコンピューターがオフィスのルーターにIPアドレスを要求していることがわかりました。

これはログファイルの出力です。

188 2016-11-18 06:50:58 DHCPD   Notice  Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD   Notice  Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD   Notice  Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD   Notice  Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD   Notice  Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD   Notice  Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD   Notice  Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD   Notice  Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD   Notice  Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD   Notice  Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD   Notice  Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD   Notice  Recv REQUEST from FC:3F:DB:21:34:E2

従業員は仕事が終わったらコンピューターの電源を切ります。ログに記録されたMACアドレスのうち2つを除くすべてが、オフィスのコンピューターに属していることを確認しました。

最近、セキュリティ違反が発生しました。ルーター、すべての管理者パスワード、WiFiパスワードをリセットします。

これらのコンピューターが営業時間外に電源を入れて、ネットワーク外の人々がアクセスできるようにする可能性はありますか?

networkingsecuritydhcplogfiles
7
bloopiebloopie

最初に尋ねる質問をする:

これらのコンピュータが自分自身を回している可能性はありますか?…

はい、コンピュータは自分自身をオンにすることができ、何年もの間この機能を備えていました。 IBM互換PCの場合、ATX PSUを取得しているため、これは正常です。(1995年以降)マザーボードのファームウェア(別名BIOSまたはUEFI)にアクセスする場合、これを構成するオプションがあります。かなり古いPCをお持ちで、オフィスに着く前に電源を入れて起動したい場合に便利です。

あなたの質問の2番目の部分

…そして私たちのネットワーク外の人々が自分自身にアクセスできるようにする?

最初の部分から独立しています。コンピュータの電源がオンになったときにそれが発生した場合(コンピュータが単独で電源をオンにしたか、電源ボタンを押したかに関係なく)、問題が発生します。その場合、セキュリティ違反はまだ修正されていません。

最後に、MACアドレスを取得した場合は、最初の3バイトを調べることができます。 IPを要求しているネットワークカードを製造したメーカーがわかります。これは、ソースを特定するのに役立ちます(たとえば、プリンターからのDHCP要求のみ、または携帯(個人用?)電話からのDHCP要求のみ…

私はあなたの投稿でアドレスを調べました:

F8:0F:41または98:EE:CBで始まるMACアドレスは Wistron InfoComm に属します。ウィキペディアによると、この会社はタブレット、携帯電話、およびChrome OSを実行するその他のデバイスを製造しています。

64:EB:8Cで始まるMACアドレスは、セイコーエプソン株式会社に帰属します。それらはプリンターである可能性があります(その場合も、プリンターはおそらくオフィスに独自のIP範囲を持っていますが、DHCPサーバーに予約済みのMAC→IPがある可能性があります)。

4C:A1:61で始まるMACアドレスは、Rain BirdCorporationに属しています。その名前で検索を行うたびに、スプリンクラー会社が見つかりました。

最後に:

ログファイルは正しくありませんか?

私はそれを疑います。何かがIP情報を要求しているようです。これはログに記録されています。ロギングに障害はありません。より大きな問題は、なぜ彼らが営業時間外にそれをしているのかということです。一日中電源が入っている(そしておそらく24時間年中無休であるはずの)芝生のスプリンクラーシステムはありますか?電源がオフではなく、スリープモードに移行するプリンターはありますか?適切に電源が切られないが、代わりに低電力(スリープ?)モードになり、低バッテリーを検出して電源を入れてディープスリープモードに移行するラップトップまたはPCはありますか?

基本的に、どのデバイスを見つけるか(簡単なはずですが、MACとIPを取得しているので、ドキュメントを使用してPCを検索するか、ルーターを使用してデバイスを見つけることができます)。次に、その最後のデバイスからさらに調査します。 (Windowsコンピュータの場合は、powercfg lastwakeを試してください)。

7
Hennes