Selama 3-4 minggu terakhir saya telah mencoba untuk menemukan server DHCP jahat di jaringan saya tetapi telah bingung! Ia menawarkan Alamat IP yang tidak berfungsi dengan jaringan saya, jadi perangkat apa pun yang memerlukan Alamat Dinamis akan mendapatkannya dari Rogue DHCP dan kemudian perangkat itu berhenti berfungsi. Saya butuh bantuan untuk menemukan dan menghancurkan benda ini! Saya pikir itu mungkin semacam Trojan.
Router Utama saya adalah satu-satunya DHCP Server yang valid dan 192.168.0.1 yang menawarkan kisaran 192.160.0.150-199, dan saya mengonfigurasi ini dalam AD saya sebagai Diotorisasi. DHCP ROGUE ini mengklaim berasal dari 192.168.0.20 dan menawarkan Alamat IP dalam kisaran 10.255.255. * Yang mengacaukan SEGALA SESUATU di jaringan saya kecuali saya menetapkan Alamat IP statis untuknya. 192.168.0.20 tidak ada di jaringan saya.
Jaringan saya adalah AD Server tunggal pada Windows 2008R2, 3 server fisik lainnya (1-2008R2 dan 2 2012R2) tentang 4 Hypervisor VM, 3 laptop dan kotak Windows 7.
Saya tidak bisa melakukan ping ke IP 192.160.0.20 yang nakal, dan saya tidak bisa melihatnya di keluaran ARP, jadi saya tidak bisa mendapatkan alamat MAC-nya. Saya berharap seseorang yang membaca posting ini telah menemukan ini sebelumnya.
sumber
grep
melihatnya di awal (belum) bersih) log DHCP. 2) Jika tidak ada yang berhasil: hubungkan setengah dari mesin dari internet, periksa apakah ia masih ada di sini. Jadi, Anda akan tahu, di mana setengahnya adalah orang jahat. Kemudian begitu yang sama ditemukan setengah, dan sebagainya.Jawaban:
Pada salah satu klien Windows yang terpengaruh, mulailah menangkap paket (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, dll.), Kemudian dari prompt perintah yang ditinggikan, jalankan ipconfig / release . Klien DHCP akan mengirim
DHCPRELEASE
pesan ke server DHCP tempat ia memperoleh alamat ipnya. Ini akan memungkinkan Anda untuk mendapatkan alamat MAC dari server DHCP jahat, yang kemudian dapat Anda lacak di tabel alamat MAC sakelar Anda untuk mengetahui port sakelar mana yang terhubung, kemudian lacak port sakelar itu ke soket jaringan dan perangkat terhubung ke stopkontak. ke dalamnya.sumber
Menemukannya!! Itu adalah Kamera Jaringan D-Link DCS-5030L saya! Saya tidak tahu mengapa ini terjadi. Ini adalah bagaimana saya menemukannya.
Sekarang saya bisa melanjutkan hidup saya !! Terima kasih untuk semua orang atas dukungannya.
sumber
Lakukan pencarian biner.
Ini akan membagi jaringan menjadi dua setiap pengujian berturut-turut, jadi jika Anda memiliki 1.000 mesin, Anda mungkin memerlukan hingga 10 tes untuk menemukan masing-masing port yang dijalankan oleh server DHCP.
Anda akan menghabiskan banyak waktu untuk menyambungkan dan mencabut perangkat, tetapi akan mempersempitnya ke server dhcp tanpa banyak alat dan teknik tambahan, sehingga ini akan bekerja di lingkungan apa pun.
sumber
Anda bisa saja:
ping 10.10.10.10
, ini memaksa komputer mencari alamat MAC server dhcp dan menambahkannya ke tabel ARP, perlu diketahui bahwa ping mungkin gagal jika ada firewall memblokirnya, ini ok dan tidak akan menyebabkan masalah.arp -a| findstr 10.10.10.10
. Ini kueri tabel arp untuk alamat MAC.Anda akan melihat sesuatu seperti:
Entri tengah adalah alamat MAC.
Kemudian cari di switch MAC / Port table sesuai jawaban joeqwerty, kirim kembali jika Anda memerlukan bantuan.
Tidak perlu menginstal wireshark.
sumber