За последние 3-4 недели я пытался найти мошеннический DHCP-сервер в моей сети, но был в тупике! Он предлагает IP-адреса, которые не работают с моей сетью, поэтому любое устройство, которому требуется динамический адрес, получает его от Rogue DHCP, а затем это устройство перестает работать. Мне нужна помощь, чтобы найти и уничтожить эту вещь! Я думаю, что это может быть какой-то троян.
Мой основной маршрутизатор является единственным действующим сервером DHCP и имеет 192.168.0.1, который предлагает диапазон 192.160.0.150-199, и я настроил его в моей AD как авторизованный. Этот ROGUE DHCP утверждает, что он пришел с 192.168.0.20 и предлагает IP-адрес в диапазоне 10.255.255. *, Который портит ВСЕ в моей сети, если я не назначу ему статический IP-адрес. 192.168.0.20 не существует в моей сети.
Моя сеть - это один сервер AD на Windows 2008R2, 3 других физических сервера (1-2008R2 и 2 2012R2), около 4 виртуальных машин Hypervisor, 3 ноутбука и Windows 7.
Я не могу пропинговать IP-адрес мошенника 192.160.0.20 и не вижу его на выходе ARP -A, поэтому не могу получить его MAC-адрес. Я надеюсь, что кто-то, читающий этот пост, сталкивался с этим раньше.
источник
grep
его ранее (пока). чисто) DHCP логи. 2) Если ничего другого не работает: отключите половину машин из сети, проверьте, все ли еще он здесь. Таким образом, вы будете знать, в какой половине это плохой парень. Потом так же в найденной половине и так далее.Ответы:
На одном из уязвимых клиентов Windows запустите захват пакетов (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer и т. Д.), Затем из командной строки с повышенными привилегиями запустите ipconfig / release . DHCP-клиент отправит
DHCPRELEASE
сообщение DHCP-серверу, с которого он получил свой IP-адрес. Это должно позволить вам получить MAC-адрес мошеннического DHCP-сервера, который затем можно отследить в таблице MAC-адресов коммутатора, чтобы выяснить, к какому порту коммутатора он подключен, а затем отследить этот порт коммутатора до сетевого разъема и подключенного устройства. внутрь.источник
Нашел это !! Это была моя сетевая камера DCS-5030L D-Link! Я понятия не имею, почему это произошло. Вот как я это нашел.
Теперь я могу жить своей жизнью !! Спасибо всем за поддержку.
источник
Сделайте бинарный поиск.
Это разделит сеть на два последовательных теста, поэтому если у вас 1000 машин, вам может потребоваться до 10 тестов, чтобы найти отдельный порт, на котором работает DHCP-сервер.
Вы потратите много времени на подключение и отключение устройств, но это сузит его до сервера dhcp без большого количества дополнительных инструментов и методов, поэтому он будет работать в любой среде.
источник
Вы могли бы просто:
ping 10.10.10.10
, это заставляет компьютер искать MAC-адрес dhcp-сервера и добавлять его в таблицу ARP, помнить, что ping может произойти сбой, если его блокирует брандмауэр, это нормально и не вызовет проблем.arp -a| findstr 10.10.10.10
. Это запрашивает таблицу arp для MAC-адреса.Вы увидите что-то вроде:
Средняя запись - это MAC-адрес.
Затем найдите его в таблице MAC / Port коммутаторов в соответствии с ответом joeqwerty, напишите, если вам нужна помощь в этом.
Не нужно устанавливать Wireshark.
источник