Au cours des 3-4 dernières semaines, j'ai essayé de trouver un serveur DHCP non autorisé sur mon réseau, mais j'ai été perplexe! Il propose des adresses IP qui ne fonctionnent pas avec mon réseau, donc tout périphérique qui a besoin d'une adresse dynamique en obtient une du DHCP non autorisé, puis ce périphérique cesse de fonctionner. J'ai besoin d'aide pour trouver et détruire cette chose! Je pense que ce pourrait être un cheval de Troie en quelque sorte.
Mon routeur principal est le seul serveur DHCP valide et est 192.168.0.1 qui offre une plage de 192.160.0.150-199, et je l'ai configuré dans mon AD comme autorisé. Ce DHCP ROGUE prétend provenir de 192.168.0.20 et offrir une adresse IP dans la plage de 10.255.255. * Qui gâche TOUT sur mon réseau à moins que je ne lui attribue une adresse IP statique. 192.168.0.20 n'existe pas sur mon réseau.
Mon réseau est un seul serveur AD sur Windows 2008R2, 3 autres serveurs physiques (1-2008R2 et 2 2012R2) environ 4 machines virtuelles hyperviseur, 3 ordinateurs portables et une boîte Windows 7.
Je ne peux pas cingler l'IP 192.160.0.20 voyous, et je ne peux pas le voir dans la sortie ARP -A, donc je ne peux pas obtenir son adresse MAC. J'espère que quelqu'un lisant ce post l'a déjà rencontré.
Sur l'un des clients Windows concernés, démarrez une capture de paquets (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, etc.), puis à partir d'une invite de commande élevée exécutée ipconfig/release. Le client DHCP enverra un message DHCPRELEASE
au serveur DHCP à partir duquel il a obtenu son adresse IP. Cela devrait vous permettre d'obtenir l'adresse MAC du serveur DHCP non autorisé, que vous pouvez ensuite retrouver dans votre tableau d'adresses MAC de commutateur pour savoir à quel port de commutateur il est connecté, puis suivre ce port de commutateur jusqu'à la prise réseau et le périphérique branché. dans ça.
Je l'ai trouvé !! C'était ma caméra réseau D-Link DCS-5030L! Je n'ai aucune idée pourquoi cela s'est produit. C'est comme ça que je l'ai trouvé.
Maintenant je peux continuer ma vie !! Merci à tous pour votre soutien.
Faites une recherche binaire.
Cela divisera le réseau en deux chaque test successif, donc si vous avez 1 000 machines, il peut vous falloir jusqu'à 10 tests pour trouver le port individuel sur lequel le serveur DHCP s'exécute.
Vous passerez beaucoup de temps à brancher et à débrancher des périphériques, mais cela se limitera au serveur DHCP sans beaucoup d'outils et de techniques supplémentaires, donc cela fonctionnera dans n'importe quel environnement.
Vous pourriez simplement:
ping 10.10.10.10
, cela oblige l'ordinateur à rechercher l'adresse MAC du serveur DHCP et à l'ajouter à la table ARP, sachez que le ping peut échouer s'il y a un pare-feu qui le bloque, c'est correct et ne causera pas de problèmes.arp -a| findstr 10.10.10.10
. Cela interroge la table arp pour l'adresse MAC.Vous verrez quelque chose comme:
10.10.10.10 00-07-32-21-c7-5f dynamic
L'entrée du milieu est l'adresse MAC.
Ensuite, recherchez-le dans la table MAC/Port des commutateurs selon la réponse de joeqwerty, postez si vous avez besoin d'aide pour cela.
Pas besoin d'installer wirehark.