找不到流氓DHCP服务器

在过去的3-4周中，我一直在尝试在网络上查找恶意的DHCP服务器，但是却很困惑！它提供的IP地址无法用于我的网络，因此任何需要动态地址的设备都将从Rogue DHCP中获取一个，然后该设备停止工作。我需要帮助才能找到并销毁该物品！我认为这可能是某种木马。

我的主路由器是唯一有效的DHCP服务器，它是192.168.0.1，提供的范围为192.160.0.150-199，我在AD中将此服务器配置为“授权”。这个ROGUE DHCP声称来自192.168.0.20，并且提供的IP地址在10.255.255。*范围内，除非我为它分配了静态IP地址，否则这将使我的网络上的一切混乱。192.168.0.20在我的网络上不存在。

我的网络是Windows 2008R2上的单个AD服务器，其他3台物理服务器（1-2008R2和2 2012R2），大约4台Hypervisor VM，3台笔记本电脑和Windows 7盒。

我无法ping流氓192.160.0.20 IP，也无法在ARP -A输出中看到它，因此无法获取其MAC地址。我希望以前读过这篇文章的人遇到过这种情况。

在受影响的Windows客户端之一上启动数据包捕获（Wireshark，Microsoft网络监视器，Microsoft消息分析器等），然后从提升的命令提示符下运行ipconfig / release。DHCP客户端将向DHCPRELEASEDHCP服务器发送一条消息，它从中获得IP地址。这应该允许您获取恶意DHCP服务器的MAC地址，然后可以在您的交换机MAC地址表中进行跟踪，以找出其所连接的交换机端口，然后将该交换机端口跟踪到网络插孔并插入设备进去。

找到了！！那是我的DCS-5030L D-Link网络摄像机！我不知道为什么会这样。这就是我找到它的方式。

1. 我将笔记本电脑的IP地址更改为10.255.255.150/255.255.255.0/10.255.255.1和DNS服务器8.8.8.8，以使它位于流氓dhcp抛出的范围内。
2. 然后，我做了一个ipconfig / all来填充ARP表。
3. 用arp -a获取表中IP的列表，并且有10.255.255.1的MAC地址，它是流氓DHCP服务器的网关！
4. 然后，我使用了Nirsoft.net的Wireless Network Watcher，因此可以从找到的MAC地址中找到设备的真实IP地址。流氓DHCP的实际IP为192.168.0.153，由摄像机动态获取。
5. 然后，我登录到“相机”网页，发现该网页先前已设置为192.168.0.20，这是rouge DHCP服务器的IP地址。
6. 然后我将其切换为静态IP，并将其保留为192.160.0.20。

现在我可以继续生活了！！感谢大家的支持。

进行二进制搜索。

1. 断开一半电缆
2. 使用“ / ipconfig release”测试是否仍然存在
3. 如果是这样，请断开其余的一半并转到2
4. 如果不是，请重新连接先前断开的上半部分，断开后半部分并转到2

这会将网络每个连续的测试分为两个，因此，如果您有1,000台计算机，则最多可能需要进行10个测试才能找到DHCP服务器正在运行的单个端口。

您将花费大量时间来插入和拔出设备，但是它将无需很多其他工具和技术就能将其范围缩小到dhcp服务器，因此它可以在任何环境中工作。

您可以：

• 打开网络和共享中心（从开始或右键单击网络托盘图标），单击蓝色的连接链接->详细信息。
• 找到ipv4 dhcp地址（在本示例中为10.10.10.10）
• 从开始菜单中打开命令提示符。
• 对ip进行ping操作，例如ping 10.10.10.10，这将强制计算机查找dhcp服务器的MAC地址并将其添加到ARP表中，请注意，如果有防火墙阻止ping操作，ping可能会失败，这是可以的，并且不会引起问题。
• 做arp -a| findstr 10.10.10.10。这将在arp表中查询MAC地址。

您会看到类似以下内容：

10.10.10.10       00-07-32-21-c7-5f     dynamic

中间条目是MAC地址。

然后根据joeqwerty的答案在交换机MAC /端口表中查找它，如果需要帮助，请发回。

无需安装wireshark。