我知道这是一个非常困难的尝试,但我们还是决定尝试一下。
在过去一周左右的时间里,连接到我们网络中特定交换机的用户(共有四个哑交换机连接,并且只影响一个交换机上的部分用户,而不是全部用户)从恶意 DHCP 服务器获取 DHCP 地址。
我已经对插入有问题的交换机的每条电缆进行了物理检查,以确保它们都没有连接路由器或 wifi 点。我知道 DHCP 服务器的 IP,但我无法 ping 通它,而且它没有 Web 界面。
有人能建议我该如何找到它或关闭它吗?不幸的是,所有交换机都不受管理,而且如上所述,没有物理设备(我能找到)插入任何东西。
它变得越来越严重,因为它搞乱了一大堆瘦客户端的 PXE 启动。
答案1
尝试nmap使用 -O 检测操作系统,可能会让您更好地了解它是什么服务器?此外,运行标准端口扫描可能有助于弄清楚它是什么
答案2
事实上,您无法 ping 通它,这不是什么问题。
(此过程主要针对管理型交换机,对于哑交换机,它没那么有用,因为您无法检查凸轮表......但无论如何。)
- 运行 ipconfig /all(或查看系统日志),记下“DHCP 服务器”列出的 IP 地址。通常,这与默认网关相同。
- 尝试 ping 该 IP 地址,忽略结果。
- 运行 arp -a。列出的 IP 的 mac 地址是您的恶意 DHCP 服务器。
因此,在您的情况下,您无法跟进定位交换机端口并禁用它,但您至少可以查找 mac 地址供应商,并会发现供应商是 vmware 或 virtualbox 之类的东西。
如果你身边有盒子,你可以安装https://roguedetect.bountysource.com/如果将来再出现类似问题,它会通知您。
答案3
好吧,你可以随时尝试 ping 一下,然后检查路由器上的闪烁指示灯。=P
traceroute 显示什么了吗?
答案4
运行Wireshark获取服务器的MAC地址。它至少应该告诉你制造商(MAC地址是集中分配的,每个制造商都分配一组地址)。