In den letzten drei bis vier Wochen habe ich versucht, einen falschen DHCP-Server in meinem Netzwerk zu finden, bin jedoch abgestürzt! Es werden IP-Adressen angeboten, die mit meinem Netzwerk nicht kompatibel sind. Daher erhält jedes Gerät, das eine dynamische Adresse benötigt, eine vom Rogue-DHCP, und das Gerät funktioniert dann nicht mehr. Ich brauche Hilfe, um dieses Ding zu finden und zu zerstören! Ich denke, es könnte sich um einen Trojaner handeln.
Mein Hauptrouter ist der einzige gültige DHCP-Server und 192.168.0.1, der einen Bereich von 192.160.0.150-199 bietet. Ich habe diesen in meinem AD als Autorisiert konfiguriert. Dieser ROGUE-DHCP-Server soll von 192.168.0.20 stammen und eine IP-Adresse im Bereich von 10.255.255 anbieten. * Dies bringt ALLES in meinem Netzwerk durcheinander, es sei denn, ich weise ihm eine statische IP-Adresse zu. 192.168.0.20 existiert nicht in meinem Netzwerk.
Mein Netzwerk besteht aus einem einzelnen AD-Server unter Windows 2008R2, 3 weiteren physischen Servern (1-2008R2 und 2 2012R2) mit 4 Hypervisor-VMs, 3 Laptops und einer Windows 7-Box.
Ich kann die IP-Adresse des Rogue 192.160.0.20 nicht anpingen und kann sie in der ARP-A-Ausgabe nicht sehen, sodass ich ihre MAC-Adresse nicht abrufen kann. Ich hoffe, dass jemand, der diesen Beitrag liest, schon einmal darauf gestoßen ist.
quelle
grep
Sie dies in Ihrer früheren Version tun (noch nicht) sauber) DHCP-Protokolle. 2) Wenn nichts anderes funktioniert: Stecke die Hälfte der Maschinen aus dem Netz, überprüfe, ob er noch da ist. Sie werden also wissen, in welcher Hälfte der Bösewicht ist. Dann so das gleiche in der Hälfte gefunden, und so weiter.Antworten:
Starten Sie auf einem der betroffenen Windows-Clients eine Paketerfassung (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer usw.) und führen Sie dann an einer Eingabeaufforderung mit erhöhten Rechten ipconfig / release aus . Der DHCP-Client sendet eine
DHCPRELEASE
Nachricht an den DHCP-Server, von dem er seine IP-Adresse erhalten hat. Auf diese Weise können Sie die MAC-Adresse des nicht autorisierten DHCP-Servers abrufen, die Sie in Ihrer Switch-MAC-Adresstabelle nachverfolgen können, um herauszufinden, an welchen Switch-Port er angeschlossen ist, und diesen Switch-Port zur Netzwerkbuchse und zum angeschlossenen Gerät zurückverfolgen hinein.quelle
Fand es!! Es war meine DCS-5030L D-Link-Netzwerkkamera! Ich habe keine Ahnung, warum das passiert ist. So habe ich es gefunden.
Jetzt kann ich mit meinem Leben weitermachen !! Vielen Dank an alle für die Unterstützung.
quelle
Führe eine binäre Suche durch.
Dadurch wird das Netzwerk in zwei aufeinanderfolgende Tests unterteilt. Wenn Sie also über 1.000 Computer verfügen, können Sie bis zu 10 Tests durchführen, um den einzelnen Port zu ermitteln, auf dem der DHCP-Server ausgeführt wird.
Sie werden viel Zeit damit verbringen, Geräte anzuschließen und abzuziehen, aber es wird ohne viele zusätzliche Tools und Techniken auf den DHCP-Server beschränkt, sodass es in jeder Umgebung funktioniert.
quelle
Sie könnten nur:
ping 10.10.10.10
Adresse, damit der Computer die MAC-Adresse des DHCP-Servers abruft und diese zur ARP-Tabelle hinzufügt. Beachten Sie, dass der Ping möglicherweise fehlschlägt, wenn eine Firewall die IP-Adresse blockiert. Dies ist in Ordnung und verursacht keine Probleme.arp -a| findstr 10.10.10.10
. Dies fragt die Arp-Tabelle nach der MAC-Adresse ab.Du wirst etwas sehen wie:
Der mittlere Eintrag ist die MAC-Adresse.
Dann schauen Sie in der MAC / Port-Tabelle der Switches nach, wie in der Antwort von joeqwerty angegeben, und senden Sie eine E-Mail, wenn Sie dabei Hilfe benötigen.
Wireshark muss nicht installiert werden.
quelle