找不到流氓DHCP服务器


44

在过去的3-4周中,我一直在尝试在网络上查找恶意的DHCP服务器,但是却很困惑!它提供的IP地址无法用于我的网络,因此任何需要动态地址的设备都将从Rogue DHCP中获取一个,然后该设备停止工作。我需要帮助才能找到并销毁该物品!我认为这可能是某种木马。

我的主路由器是唯一有效的DHCP服务器,它是192.168.0.1,提供的范围为192.160.0.150-199,我在AD中将此服务器配置为“授权”。这个ROGUE DHCP声称来自192.168.0.20,并且提供的IP地址在10.255.255。*范围内,除非我为它分配了静态IP地址,否则这将使我的网络上的一切混乱。192.168.0.20在我的网络上不存在。

我的网络是Windows 2008R2上的单个AD服务器,其他3台物理服务器(1-2008R2和2 2012R2),大约4台Hypervisor VM,3台笔记本电脑和Windows 7盒。

我无法ping流氓192.160.0.20 IP,也无法在ARP -A输出中看到它,因此无法获取其MAC地址。我希望以前读过这篇文章的人遇到过这种情况。


12
我对Windows没有帮助,但是如果我在Linux上,我会在客户端上使用tcpdump捕获数据包,因为它获得了错误的dhcp租约。数据包捕获应具有发送报价的系统的mac地址。追踪。
yoonix '17

7
您可以拔掉所有东西,然后一次将它们放回网络吗?
RS

1
1)您可能会看到恶意服务器的MAC(如果木马没有更改它的话),并且-如果您没有来自客户端MAC的列表,那么您可以grep在较早的服务器中找到它(但是清除)DHCP日志。2)如果没有其他作用:将一半机器从网络上拔出,检查他是否仍然在这里。因此,您会知道,坏蛋占一半。然后,同样找到一半,依此类推。
user259412 '17

4
什么路由器?路由器本身可能已被感染。
J ...

1
您有什么类型的开关?管理还是非管理?牌?模型?根据交换机的功能,您可能有更多解决问题的可能性。
拉斐尔·路西格

Answers:


53

在受影响的Windows客户端之一上启动数据包捕获(Wireshark,Microsoft网络监视器,Microsoft消息分析器等),然后从提升的命令提示符下运行ipconfig / release。DHCP客户端将向DHCPRELEASEDHCP服务器发送一条消息,它从中获得IP地址。这应该允许您获取恶意DHCP服务器的MAC地址,然后可以在您的交换机MAC地址表中进行跟踪,以找出其所连接的交换机端口,然后将该交换机端口跟踪到网络插孔并插入设备进去。


1
如何查看非托管交换机的MAC地址和ARP表?

25
@Dai步骤0:购买托管交换机。我知道这并非总是一种选择,但是通常您的网络足够大,足以使其值得使用,或者足够小,以至于遍历每台机器并对其进行询问都不是一件容易的事。
奥利

1
@Dai开关的品牌和型号是什么?
哈根·冯·埃岑

19
如果您使用的是不受管的交换机,则mac地址仍然可以为您提供一些帮助-您可以查找供应商,这样您便可以确定要寻找哪种品牌的硬件,并且可以使用诸如arping等工具来对胭脂进行ping操作,您拔下交换机端口即可确定其连接到哪个端口。
迈克尔·科恩

2
@Oli说什么。如果您在当今时代还没有完全可管理的交换机基础架构,那么问题就不在于您找不到无赖的DHCP服务器。那是你什么都找不到。
MadHatter

37

找到了!!那是我的DCS-5030L D-Link网络摄像机!我不知道为什么会这样。这就是我找到它的方式。

  1. 我将笔记本电脑的IP地址更改为10.255.255.150/255.255.255.0/10.255.255.1和DNS服务器8.8.8.8,以使它位于流氓dhcp抛出的范围内。
  2. 然后,我做了一个ipconfig / all来填充ARP表。
  3. 用arp -a获取表中IP的列表,并且有10.255.255.1的MAC地址,它是流氓DHCP服务器的网关!
  4. 然后,我使用了Nirsoft.net的Wireless Network Watcher,因此可以从找到的MAC地址中找到设备的真实IP地址。流氓DHCP的实际IP为192.168.0.153,由摄像机动态获取。
  5. 然后,我登录到“相机”网页,发现该网页先前已设置为192.168.0.20,这是rouge DHCP服务器的IP地址。
  6. 然后我将其切换为静态IP,并将其保留为192.160.0.20。

现在我可以继续生活了!!感谢大家的支持。


25
如果您的网络摄像机正在运行DHCP服务器,我怀疑它已被恶意软件感染。没有摄像机会故意运行DHCP。我在D-Link文档中查找了它,它确实具有运行服务器的功能,但是如果它是故意配置的,我会感到非常惊讶。检查它是否存在恶意软件,许多摄像机已经被劫持。
Zan Lynx

3
为什么在世界范围内,网络摄像机都具有DHCP服务器???
罗恩·约翰(RonJohn)

14
@RonJohn,因此您可以在没有自己的DHCP服务器的独立网络上访问其配置网页。我同意这样的设备具有DHCP服务器是愚蠢的,但这就是他们这样做的原因。
Moshe Katz

7
@ZanLynx 没有摄像机会故意运行DHCP ...您还没有遇到很多软件工程经理;)
txtechhelp


18

进行二进制搜索。

  1. 断开一半电缆
  2. 使用“ / ipconfig release”测试是否仍然存在
  3. 如果是这样,请断开其余的一半并转到2
  4. 如果不是,请重新连接先前断开的上半部分,断开后半部分并转到2

这会将网络每个连续的测试分为两个,因此,如果您有1,000台计算机,则最多可能需要进行10个测试才能找到DHCP服务器正在运行的单个端口。

您将花费大量时间来插入和拔出设备,但是它将无需很多其他工具和技术就能将其范围缩小到dhcp服务器,因此它可以在任何环境中工作。


3
进行非托管开关拔出搜索的更好方法。+1
Todd Wilcox

我会选择开关本身而不是机器。这样可以很容易地将其缩小到一个开关。
罗伦·佩希特尔

@LorenPechtel是的,如果您有多个交换机,则二进制算法可能只需要断开一根或两根电缆即可断开一半的网络。
亚当·戴维斯

17

您可以:

  • 打开网络和共享中心(从开始或右键单击网络托盘图标),单击蓝色的连接链接->详细信息。
  • 找到ipv4 dhcp地址(在本示例中为10.10.10.10)
  • 从开始菜单中打开命令提示符。
  • 对ip进行ping操作,例如ping 10.10.10.10,这将强制计算机查找dhcp服务器的MAC地址并将其添加到ARP表中,请注意,如果有防火墙阻止ping操作,ping可能会失败,这是可以的,并且不会引起问题。
  • arp -a| findstr 10.10.10.10。这将在arp表中查询MAC地址。

您会看到类似以下内容:

10.10.10.10       00-07-32-21-c7-5f     dynamic

中间条目是MAC地址。

然后根据joeqwerty的答案在交换机MAC /端口表中查找它,如果需要帮助,请发回。

无需安装wireshark。


4
OP说他无法ping通DHCP服务器的IP地址,也无法在其ARP表中找到MAC地址,这就是我发布答案的原因。他可能对您的建议没有成功,但是到目前为止,您的建议是一种更简单,更直接的方法。
joeqwerty
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.