在过去的 3-4 周里,我一直在尝试在我的网络上找到一个流氓 DHCP 服务器,但一直无计可施!它提供的 IP 地址与我的网络不兼容,因此任何需要动态地址的设备都会从流氓 DHCP 获得一个地址,然后该设备就会停止工作。我需要帮助来找到并摧毁这个东西!我认为它可能是某种特洛伊木马。
我的主路由器是唯一有效的 DHCP 服务器,地址为 192.168.0.1,提供 192.160.0.150-199 的范围,我已在 AD 中将其配置为已授权。此 ROGUE DHCP 声称来自 192.168.0.20,并提供 10.255.255.* 范围内的 IP 地址,除非我为其分配静态 IP 地址,否则它会扰乱我网络上的所有内容。我的网络上不存在 192.168.0.20。
我的网络是 Windows 2008R2 上的单个 AD 服务器、另外 3 台物理服务器(1-2008R2 和 2 2012R2)、大约 4 个 Hypervisor VM、3 台笔记本电脑和一个 Windows 7 盒子。
我无法 ping 出恶意 IP 192.160.0.20,也无法在 ARP -A 输出中看到它,因此无法获取其 MAC 地址。我希望阅读这篇文章的人以前遇到过这种情况。
答案1
在其中一个受影响的 Windows 客户端上启动数据包捕获(Wireshark、Microsoft Network Monitor、Microsoft Message Analyzer 等),然后从提升的命令提示符运行ipconfig /release。DHCP 客户端将向DHCPRELEASEDHCP 服务器发送一条消息,告知它从哪里获得了 IP 地址。这样您就可以获得恶意 DHCP 服务器的 MAC 地址,然后您可以在交换机 MAC 地址表中跟踪该地址,找出它连接到哪个交换机端口,然后将该交换机端口跟踪到网络插孔和插入其中的设备。
答案2
找到了!!这是我的 DCS-5030L D-Link 网络摄像头!我不知道为什么会发生这种情况。这就是我找到它的方式。
- 我将笔记本电脑的 IP 地址更改为 10.255.255.150/255.255.255.0/10.255.255.1,将 DNS 服务器更改为 8.8.8.8,以便它处于恶意 DHCP 分发的范围内。
- 然后我执行了 ipconfig /all 来填充 ARP 表。
- 执行了 arp -a 来获取表中的 IP 列表,并且找到了 10.255.255.1 的 MAC 地址,它是恶意 DHCP 服务器的网关!
- 然后我使用 Nirsoft.net 的无线网络监测器,这样我就可以从找到的 MAC 地址中找到设备的真实 IP 地址。Rogue DHCP 的实际 IP 是 192.168.0.153,由摄像头动态获取。
- 然后我登录到摄像机网页,看到它之前设置为 192.168.0.20,这是流氓 DHCP 服务器的 IP 地址。
- 然后我将其切换为静态 IP 并将其保持为 192.160.0.20。
现在我可以继续我的生活了!!感谢大家的支持。
答案3
进行二分查找。
- 断开一半的电缆
- 使用“/ipconfig release”测试它是否仍然存在
- 如果是,则断开剩余的另一半并转到 2
- 如果不是,则重新连接之前断开的第一半,断开第二半并转到2
这会将网络在每次连续测试中分成两部分,因此如果您有 1,000 台机器,则可能需要进行最多 10 次测试才能找到 DHCP 服务器正在运行的各个端口。
您将花费大量时间插入和拔出设备,但它会将范围缩小到 dhcp 服务器,而无需大量额外的工具和技术,因此它可以在任何环境中工作。
答案4
你可以:
- 打开网络和共享中心(从开始或右键单击网络托盘图标),单击蓝色连接链接->详细信息。
- 找到 ipv4 dhcp 地址(本例中为 10.10.10.10)
- 从开始菜单打开命令提示符。
- 例如 ping 该 ip
ping 10.10.10.10,这会强制计算机查找 dhcp 服务器的 MAC 地址并将其添加到 ARP 表中,请注意,如果有防火墙阻止它,ping 可能会失败,这是正常的,不会导致问题。 - 执行
arp -a| findstr 10.10.10.10。这将查询 arp 表中的 MAC 地址。
你会看到类似这样的内容:
10.10.10.10 00-07-32-21-c7-5f dynamic
中间的条目是 MAC 地址。
然后根据 joeqwerty 的回答在交换机的 MAC/端口表中查找,如果需要帮助请回复。
无需安装wireshark。