ไม่พบเซิร์ฟเวอร์ Rogue DHCP

ในช่วง 3-4 สัปดาห์ที่ผ่านมาฉันพยายามหาเซิร์ฟเวอร์ DHCP อันธพาลในเครือข่ายของฉัน แต่ถูกนิ่งงัน! มีการเสนอที่อยู่ IP ที่ไม่ทำงานกับเครือข่ายของฉันดังนั้นอุปกรณ์ใด ๆ ที่ต้องการที่อยู่แบบไดนามิกจะได้รับหนึ่งจาก Rogue DHCP จากนั้นอุปกรณ์ดังกล่าวจะหยุดทำงาน ฉันต้องการความช่วยเหลือในการค้นหาและทำลายสิ่งนี้! ฉันคิดว่ามันอาจจะเป็นโทรจันในบางประเภท

เราเตอร์หลักของฉันเป็นเซิร์ฟเวอร์ DHCP ที่ถูกต้องเพียงอย่างเดียวและเป็น 192.168.0.1 ซึ่งมีช่วงของ 192.160.0.150-199 และฉันมีการกำหนดค่านี้ในโฆษณาของฉันในฐานะผู้มีอำนาจ ROGUE DHCP นี้อ้างว่ามาจาก 192.168.0.20 และเสนอที่อยู่ IP ในช่วง 10.255.255. * ซึ่งทำทุกอย่างบนเครือข่ายของฉันเว้นแต่ฉันจะกำหนดที่อยู่ IP แบบคงที่ให้กับมัน 192.168.0.20 ไม่มีอยู่ในเครือข่ายของฉัน

เครือข่ายของฉันเป็นเซิร์ฟเวอร์โฆษณาเดียวใน Windows 2008R2, เซิร์ฟเวอร์จริงอีก 3 ตัว (1-2008R2 และ 2 2012R2) ประมาณ 4 Hypervisor VM's, แล็ปท็อป 3 เครื่องและกล่อง Windows 7

ฉันไม่สามารถ ping rogue 192.160.0.20 IP และฉันไม่สามารถเห็นได้ในเอาต์พุต ARP -A ดังนั้นฉันจึงไม่สามารถรับที่อยู่ MAC ของมันได้ ฉันหวังว่าจะมีคนอ่านโพสต์นี้เจอเรื่องนี้มาก่อน

เมื่อวันหนึ่งในลูกค้าของ Windows ได้รับผลกระทบเริ่มจับ packet (Wireshark ไมโครซอฟท์ตรวจสอบเครือข่ายวิเคราะห์ข้อความของ Microsoft ฯลฯ ) จากนั้นก็พร้อมท์คำสั่งเรียกใช้ipconfig / ไคลเอ็นต์ DHCP จะส่งDHCPRELEASEข้อความไปยังเซิร์ฟเวอร์ DHCP ที่ได้รับเป็นที่อยู่ ip สิ่งนี้จะช่วยให้คุณได้รับที่อยู่ MAC ของเซิร์ฟเวอร์ DHCP อันธพาลซึ่งคุณสามารถติดตามได้ในตารางที่อยู่ MAC ของสวิตช์ของคุณเพื่อค้นหาว่าพอร์ตสวิตช์ใดที่เชื่อมต่ออยู่จากนั้นติดตามที่เปลี่ยนพอร์ตไปยังแจ็คเครือข่ายและอุปกรณ์ที่เสียบ เป็นมัน

พบมัน !! มันเป็นกล้องเครือข่าย D-Link DCS-5030L ของฉัน! ฉันไม่รู้ว่าทำไมสิ่งนี้จึงเกิดขึ้น นี่คือวิธีที่ฉันพบ

1. ฉันเปลี่ยนที่อยู่ IP ของแล็ปท็อปเป็น 10.255.255.150/255.255.255.0/10.255.255.1 และ DNS Server 8.8.8.8 เพื่อให้อยู่ในช่วงที่ rogue dhcp กำลังจะออกไป
2. จากนั้นฉันทำ ipconfig / all เพื่อเติมตาราง ARP
3. ทำ arp -a เพื่อรับรายการ IP ในตารางและมีที่อยู่ MAC สำหรับ 10.255.255.1 ซึ่งเป็นเกตเวย์ของเซิร์ฟเวอร์ DHCP อันธพาล!
4. ฉันใช้ Wireless Network Watcher จาก Nirsoft.net เพื่อหาที่อยู่ IP ของอุปกรณ์จากที่อยู่ MAC ที่ฉันพบ IP ที่แท้จริงของ Rogue DHCP คือ 192.168.0.153 ซึ่งกล้องหยิบขึ้นมาแบบไดนามิก
5. จากนั้นฉันก็ล็อกออนเข้าสู่เว็บเพจของกล้องและเห็นว่ามันตั้งไว้ก่อนหน้านี้เป็น 192.168.0.20 ซึ่งเป็นที่อยู่ IP ของเซิร์ฟเวอร์ DHCP รูจ
6. จากนั้นฉันเปลี่ยนเป็น IP แบบคงที่และเก็บไว้เป็น 192.160.0.20

ตอนนี้ฉันสามารถขึ้นกับชีวิตของฉัน !! ขอบคุณทุกคนที่ให้การสนับสนุน

ทำการค้นหาแบบไบนารี

1. ถอดสายเคเบิลออกครึ่งหนึ่ง
2. ใช้การทดสอบ '/ ipconfig release' หากยังมีอยู่
3. ถ้าเป็นเช่นนั้นให้ตัดการเชื่อมต่อที่เหลืออีกครึ่งหนึ่งและข้ามไป 2
4. หากไม่มีให้เชื่อมต่อครึ่งหนึ่งของครึ่งแรกที่ไม่ได้เชื่อมต่อก่อนหน้านี้อีกครั้งให้ถอดครึ่งที่สองและกลับไปที่ 2

วิธีนี้จะแบ่งเครือข่ายออกเป็นสองการทดสอบต่อเนื่องดังนั้นหากคุณมีเครื่อง 1,000 เครื่องคุณอาจต้องใช้การทดสอบถึง 10 ครั้งเพื่อค้นหาแต่ละพอร์ตที่เซิร์ฟเวอร์ DHCP ทำงานอยู่

คุณจะใช้เวลามากในการเสียบและถอดปลั๊กอุปกรณ์ แต่มันจะแคบลงไปยังเซิร์ฟเวอร์ dhcp โดยไม่ต้องใช้เครื่องมือและเทคนิคเพิ่มเติมมากมายดังนั้นมันจึงทำงานได้ในทุกสภาพแวดล้อม

คุณสามารถ:

• เปิดศูนย์เครือข่ายและการแชร์ (ตั้งแต่เริ่มต้นหรือคลิกขวาที่ไอคอนถาดเครือข่าย) คลิกลิงก์การเชื่อมต่อสีน้ำเงิน -> รายละเอียด
• ค้นหาที่อยู่ ipv4 dhcp (ในตัวอย่างนี้คือ 10.10.10.10)
• เปิดพร้อมรับคำสั่งจากเมนูเริ่ม
• ping ip เช่นping 10.10.10.10นี้บังคับให้คอมพิวเตอร์ค้นหาที่อยู่ MAC ของเซิร์ฟเวอร์ dhcp และเพิ่มลงในตาราง ARP โปรดทราบว่าการ ping อาจล้มเหลวหากมีไฟร์วอลล์บล็อกอยู่นี่เป็นสิ่งที่ตกลงและจะไม่ทำให้เกิดปัญหา
• arp -a| findstr 10.10.10.10ทำ สิ่งนี้จะสอบถามตาราง arp สำหรับที่อยู่ MAC

คุณจะเห็นสิ่งที่ชอบ:

10.10.10.10       00-07-32-21-c7-5f     dynamic

รายการกลางคือที่อยู่ MAC

จากนั้นค้นหาในตารางสวิตช์ MAC / พอร์ตตามคำตอบของ joeqwerty โพสต์กลับหากคุณต้องการความช่วยเหลือ

ไม่จำเป็นต้องติดตั้ง wireshark