Вопросы Теги

Ненужный DHCP-сервер может ' t be found

Последние 3-4 недели я пытался найти мошеннический DHCP-сервер в моей сети, но был в тупике! Он предлагает IP-адреса, которые не работают с моей сетью, поэтому любое устройство, которому требуется динамический адрес, получает его от Rogue DHCP, а затем это устройство перестает работать. Мне нужна помощь, чтобы найти и уничтожить эту штуку! Я думаю, это может быть какой-то троян.

Мой основной маршрутизатор - единственный действующий DHCP-сервер, это 192.168.0.1, который предлагает диапазон 192.160.0.150-199, и я настроил это в моем AD как авторизованный. Этот ROGUE DHCP утверждает, что он исходит из 192.168.0.20 и предлагает IP-адрес в диапазоне 10. 255.255. *, Который портит ВСЕ в моей сети, если я не назначу ему статический IP-адрес. 192.168.0.20 не существует в моей сети.

Моя сеть - это один сервер AD на Windows 2008R2, 3 других физических сервера (1-2008R2 и 2 2012R2), около 4 виртуальных машин гипервизора, 3 портативных компьютера и компьютер с Windows 7.

Я не могу пропинговать мошеннический IP-адрес 192.160.0.20 и не вижу его в выходных данных ARP -A, поэтому не могу получить его MAC-адрес. Я надеюсь, что кто-то, читающий этот пост, уже сталкивался с этим раньше.

44
задан 15 August 2017 в 22:42
4 ответа

На одном из уязвимых клиентов Windows запустите захват пакетов (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer и т. Д.),затем из командной строки с повышенными привилегиями запустите ipconfig / release . Клиент DHCP отправит сообщение DHCPRELEASE на сервер DHCP, с которого он получил свой IP-адрес. Это должно позволить вам получить MAC-адрес мошеннического DHCP-сервера, который затем можно будет отследить в таблице MAC-адресов коммутатора, чтобы узнать, к какому порту коммутатора он подключен, а затем отследить этот порт коммутатора до сетевого разъема и подключенного устройства. в него.

53
ответ дан 28 November 2019 в 19:40

Нашел !! Это была моя сетевая камера D-Link DCS-5030L! Я не знаю, почему это произошло. Вот как я его нашел.

  1. Я изменил IP-адрес своего ноутбука на 10.255.255.150/255.255.255.0/10.255.255.1 и DNS-сервер 8.8.8.8, чтобы он находился в диапазоне от того, что выдавал мошеннический dhcp out.
  2. Затем я выполнил ipconfig / all для заполнения таблицы ARP.
  3. Сделал arp -a, чтобы получить список IP-адресов в таблице, и был MAC-адрес для 10.255.255.1, который является шлюзом мошеннического DHCP-сервера!
  4. Затем я использовал Wireless Network Watcher от Nirsoft.net, чтобы я мог найти РЕАЛЬНЫЙ IP-адрес устройства по найденному мной MAC-адресу. Фактический IP-адрес мошеннического DHCP был 192.168.0.153, который динамически принимался камерой.
  5. Затем я зашел на веб-страницу камеры и увидел, что ранее было установлено значение 192.168.0.20, который являлся IP-адресом сервера Rouge DHCP.
  6. Затем я переключил его на статический IP-адрес и оставил 192.160 .0.20.

Теперь я могу жить своей жизнью !! Спасибо всем за поддержку.

37
ответ дан 28 November 2019 в 19:40

Вы можете просто:

  • Откройте центр управления сетями и общим доступом (либо с самого начала, либо щелкните правой кнопкой мыши значок сети на панели задач), щелкните синюю ссылку подключения -> подробности.
  • найдите ipv4 dhcp-адрес (в данном примере это 10.10.10.10)
  • Откройте командную строку из меню «Пуск».
  • ping этот ip, например, ping 10.10.10.10 , это заставляет компьютер искать DHCP-сервер MAC-адрес и добавьте его в таблицу ARP, имейте в виду, что эхо-запрос может завершиться неудачно, если его блокирует брандмауэр, это нормально и не вызовет проблем.
  • do arp -a | findstr 10.10.10.10 . Это запрашивает MAC-адрес в таблице arp.

Вы увидите что-то вроде: 

10.10.10.10       00-07-32-21-c7-5f     dynamic

Средняя запись - это MAC-адрес.

Затем найдите его в таблице MAC / Port коммутатора согласно ответу joeqwerty, отправьте ответ, если вам понадобится помощь.

Нет необходимости устанавливать wirehark.

17
ответ дан 28 November 2019 в 19:40

Выполните двоичный поиск.

  1. Отключите половину кабелей.
  2. Используя тест '/ ipconfig release', если он все еще там
  3. Если да, отключите другую половину оставшихся кабелей и перейдите к 2
  4. Если нет, сначала снова подключите половину ранее отключенных половина, отключите вторую половину и перейдите к 2

Это разделит сеть на две части для каждого последующего теста, поэтому, если у вас 1000 машин, вам может потребоваться до 10 тестов, чтобы найти отдельный порт, на котором работает DHCP-сервер.

Вы потратите много времени на подключение и отключение устройств, но это сузит круг вопросов до DHCP-сервера без множества дополнительных инструментов и методов, поэтому он будет работать в любой среде.

18
ответ дан 28 November 2019 в 19:40

Теги

Похожие вопросы