Nas últimas 3-4 semanas, tenho tentado encontrar um servidor DHCP não autorizado na minha rede, mas fiquei perplexo! Ele está oferecendo endereços IP que não funcionam com minha rede; portanto, qualquer dispositivo que precise de um endereço dinâmico está obtendo um do DHCP não autorizado e, em seguida, esse dispositivo para de funcionar. Preciso de ajuda para encontrar e destruir essa coisa! Eu acho que pode ser um Trojan de algum tipo.
Meu roteador principal é o único servidor DHCP válido e é 192.168.0.1, que oferece um intervalo de 192.160.0.150-199, e eu tenho isso configurado no AD como autorizado. Este DHCP ROGUE afirma ser proveniente de 192.168.0.20 e oferecer um endereço IP no intervalo de 10.255.255. * Que está atrapalhando TUDO na minha rede, a menos que eu atribua um endereço IP estático a ele. 192.168.0.20 não existe na minha rede.
Minha rede é um único servidor AD no Windows 2008R2, outros 3 servidores físicos (1-2008R2 e 2 2012R2), sobre 4 VMs do Hypervisor, 3 laptops e uma caixa do Windows 7.
Não consigo executar ping no IP 192.160.0.20 não autorizado e não consigo vê-lo na saída ARP -A, portanto não consigo obter o endereço MAC. Espero que alguém que esteja lendo este post tenha se deparado com isso antes.
fonte
grep
obtê-lo no seu servidor anterior (ainda limpo) logs DHCP. 2) Se nada mais funcionar: desconecte metade das máquinas da rede, verifique se ele ainda está aqui. Então você saberá, em que metade é o bandido. Então, o mesmo na metade encontrada, e assim por diante.Respostas:
Em um dos clientes Windows afetados, inicie uma captura de pacote (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, etc.) e, em um prompt de comando elevado, execute ipconfig / release . O cliente DHCP enviará uma
DHCPRELEASE
mensagem ao servidor DHCP de onde obteve o endereço IP. Isso deve permitir que você obtenha o endereço MAC do servidor DHCP não autorizado, que você pode rastrear na tabela de endereços MAC do switch para descobrir a qual porta do switch ele está conectado e, em seguida, rastrear essa porta do switch na tomada de rede e no dispositivo conectado. afim disso.fonte
Encontrei!! Era minha câmera de rede D-Link DCS-5030L! Não tenho idéia do por que isso aconteceu. Foi assim que eu achei.
Agora eu posso continuar com minha vida !! Obrigado a todos pelo apoio.
fonte
Faça uma pesquisa binária.
Isso dividirá a rede em duas a cada teste sucessivo; portanto, se você tiver 1.000 máquinas, poderá levar até 10 testes para encontrar a porta individual na qual o servidor DHCP está sendo executado.
Você gastará muito tempo conectando e desconectando dispositivos, mas ele o reduzirá ao servidor dhcp sem muitas ferramentas e técnicas adicionais, para que funcione em qualquer ambiente.
fonte
Você poderia apenas:
ping 10.10.10.10
, por exemplo , isso força o computador a procurar o endereço MAC do servidor dhcp e adicioná-lo à tabela ARP, lembre-se de que o ping pode falhar se houver um firewall bloqueando-o, isso está ok e não causará problemas.arp -a| findstr 10.10.10.10
. Isso consulta a tabela arp para o endereço MAC.Você verá algo como:
A entrada do meio é o endereço MAC.
Em seguida, procure-o na tabela de comutadores MAC / Port conforme a resposta de joeqwerty, poste novamente se precisar de ajuda com isso.
Não é necessário instalar o wireshark.
fonte