Последние 3-4 недели я пытался найти мошеннический DHCP-сервер в моей сети, но был в тупике! Он предлагает IP-адреса, которые не работают с моей сетью, поэтому любое устройство, которому требуется динамический адрес, получает его от Rogue DHCP, а затем это устройство перестает работать. Мне нужна помощь, чтобы найти и уничтожить эту штуку! Я думаю, это может быть какой-то троян.
Мой основной маршрутизатор - единственный действующий DHCP-сервер, это 192.168.0.1, который предлагает диапазон 192.160.0.150-199, и я настроил это в моем AD как авторизованный. Этот ROGUE DHCP утверждает, что он исходит из 192.168.0.20 и предлагает IP-адрес в диапазоне 10. 255.255. *, Который портит ВСЕ в моей сети, если я не назначу ему статический IP-адрес. 192.168.0.20 не существует в моей сети.
Моя сеть - это один сервер AD на Windows 2008R2, 3 других физических сервера (1-2008R2 и 2 2012R2), около 4 виртуальных машин гипервизора, 3 портативных компьютера и компьютер с Windows 7.
Я не могу пропинговать мошеннический IP-адрес 192.160.0.20 и не вижу его в выходных данных ARP -A, поэтому не могу получить его MAC-адрес. Я надеюсь, что кто-то, читающий этот пост, уже сталкивался с этим раньше.
На одном из уязвимых клиентов Windows запустите захват пакетов (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer и т. Д.),затем из командной строки с повышенными привилегиями запустите ipconfig / release . Клиент DHCP отправит сообщение DHCPRELEASE
на сервер DHCP, с которого он получил свой IP-адрес. Это должно позволить вам получить MAC-адрес мошеннического DHCP-сервера, который затем можно будет отследить в таблице MAC-адресов коммутатора, чтобы узнать, к какому порту коммутатора он подключен, а затем отследить этот порт коммутатора до сетевого разъема и подключенного устройства. в него.
Нашел !! Это была моя сетевая камера D-Link DCS-5030L! Я не знаю, почему это произошло. Вот как я его нашел.
Теперь я могу жить своей жизнью !! Спасибо всем за поддержку.
Вы можете просто:
ping 10.10.10.10
, это заставляет компьютер искать DHCP-сервер MAC-адрес и добавьте его в таблицу ARP, имейте в виду, что эхо-запрос может завершиться неудачно, если его блокирует брандмауэр, это нормально и не вызовет проблем. arp -a | findstr 10.10.10.10
. Это запрашивает MAC-адрес в таблице arp. Вы увидите что-то вроде:
10.10.10.10 00-07-32-21-c7-5f dynamic
Средняя запись - это MAC-адрес.
Затем найдите его в таблице MAC / Port коммутатора согласно ответу joeqwerty, отправьте ответ, если вам понадобится помощь.
Нет необходимости устанавливать wirehark.
Выполните двоичный поиск.
Это разделит сеть на две части для каждого последующего теста, поэтому, если у вас 1000 машин, вам может потребоваться до 10 тестов, чтобы найти отдельный порт, на котором работает DHCP-сервер.
Вы потратите много времени на подключение и отключение устройств, но это сузит круг вопросов до DHCP-сервера без множества дополнительных инструментов и методов, поэтому он будет работать в любой среде.