找不到流氓 DHCP 服务器

Question

在过去的 3-4 周里，我一直试图在我的网络上找到一个流氓 DHCP 服务器，但被难住了！它提供的 IP 地址不适用于我的网络，因此任何需要动态地址的设备都会从 Rogue DHCP 获取动态地址，然后该设备停止工作。我需要帮助才能找到并摧毁这东西！我认为它可能是某种木马。

我的主路由器是唯一有效的 DHCP 服务器，它是 192.168.0.1，它提供 192.160.0.150-199 的范围，我在我的 AD 中将此配置为已授权。这个 ROGUE DHCP 声称来自 192.168.0.20 并提供 10.255.255.* 范围内的 IP 地址，除非我为其分配静态 IP 地址，否则这会弄乱我网络上的所有内容。192.168.0.20 在我的网络上不存在。

我的网络是 Windows 2008R2 上的单个 AD 服务器、3 个其他物理服务器（1-2008R2 和 2 个 2012R2），大约 4 个管理程序 VM、3 台笔记本电脑和一个 Windows 7 机器。

我无法ping通流氓192.160.0.20 IP，并且在ARP -A输出中也看不到它，因此我无法获取其MAC地址。我希望阅读这篇文章的人以前遇到过这个问题。

Answer 1

在受影响的 Windows 客户端之一上启动数据包捕获（Wireshark、Microsoft 网络监视器、Microsoft 消息分析器等），然后从提升的命令提示符运行ipconfig /release。DHCP 客户端将向DHCPRELEASEDHCP 服务器发送一条消息，从中获取其 IP 地址。这应该允许您获取流氓 DHCP 服务器的 MAC 地址，然后您可以在交换机 MAC 地址表中进行跟踪以找出它连接到哪个交换机端口，然后将该交换机端口跟踪到网络插孔并插入设备进去。

Answer 2

找到了！！这是我的 DCS-5030L D-Link 网络摄像机！我不知道为什么会这样。我就是这样找到的。

1. 我将我的笔记本电脑 IP 地址更改为 10.255.255.150/255.255.255.0/10.255.255.1 和 DNS 服务器 8.8.8.8，以便它在流氓 dhcp 发出的范围内。
2. 然后我做了一个 ipconfig /all 来填充 ARP 表。
3. 执行 arp -a 以获取表中 IP 的列表，并且有 10.255.255.1 的 MAC 地址，它是流氓 DHCP 服务器的网关！
4. 然后我使用了 Nirsoft.net 的无线网络观察器，这样我就可以从我找到的 MAC 地址中找到设备的真实 IP 地址。Rogue DHCP 的实际 IP 为 192.168.0.153，由摄像头动态获取。
5. 然后我登录到相机网页，看到它之前被设置为 192.168.0.20，这是 rouge DHCP 服务器的 IP 地址。
6. 然后我将其切换为静态 IP 并将其保留为 192.160.0.20。

现在我可以继续我的生活了！！感谢大家的支持。

Answer 3

进行二分查找。

1. 断开一半的电缆
2. 使用 '/ipconfig release' 测试它是否仍然存在
3. 如果是这样，断开剩余的另一半并转到 2
4. 如果没有，重新连接之前断开的前半部分，断开后半部分并转到 2

这会将网络分为两个连续测试，因此如果您有 1,000 台机器，可能需要最多 10 次测试才能找到运行 DHCP 服务器的单个端口。

您将花费大量时间插入和拔出设备，但它会将范围缩小到 dhcp 服务器，而无需大量其他工具和技术，因此它可以在任何环境中工作。

Answer 4

你可以：

• 打开网络和共享中心（从开始或右键单击网络托盘图标），单击蓝色连接链接-> 详细信息。
• 找到 ipv4 dhcp 地址（在本例中为 10.10.10.10）
• 从开始菜单打开命令提示符。
• 例如ping 10.10.10.10，ping 那个 ip ，这会强制计算机查找 dhcp 服务器的 MAC 地址并将其添加到 ARP 表中，请注意，如果防火墙阻止它，ping 可能会失败，这没问题，不会引起问题。
• 做arp -a| findstr 10.10.10.10。这将在 arp 表中查询 MAC 地址。

你会看到类似的东西：

10.10.10.10       00-07-32-21-c7-5f     dynamic

中间条目是 MAC 地址。

然后根据 joeqwerty 的回答在交换机 MAC/Port 表中查找它，如果您需要帮助，请回帖。

无需安装wireshark。