在过去的3-4周中,我一直在尝试在网络上查找恶意的DHCP服务器,但是却很困惑!它提供的IP地址无法用于我的网络,因此任何需要动态地址的设备都将从Rogue DHCP中获取一个,然后该设备停止工作。我需要帮助才能找到并销毁该物品!我认为这可能是某种木马。
我的主路由器是唯一有效的DHCP服务器,它是192.168.0.1,提供的范围为192.160.0.150-199,我在AD中将此服务器配置为“授权”。这个ROGUE DHCP声称来自192.168.0.20,并且提供的IP地址在10.255.255。*范围内,除非我为它分配了静态IP地址,否则这将使我的网络上的一切混乱。192.168.0.20在我的网络上不存在。
我的网络是Windows 2008R2上的单个AD服务器,其他3台物理服务器(1-2008R2和2 2012R2),大约4台Hypervisor VM,3台笔记本电脑和Windows 7盒。
我无法ping流氓192.160.0.20 IP,也无法在ARP -A输出中看到它,因此无法获取其MAC地址。我希望以前读过这篇文章的人遇到过这种情况。
grep
在较早的服务器中找到它(但是清除)DHCP日志。2)如果没有其他作用:将一半机器从网络上拔出,检查他是否仍然在这里。因此,您会知道,坏蛋占一半。然后,同样找到一半,依此类推。