過去3〜4週間にわたって、ネットワーク上で不正なDHCPサーバーを見つけようとしましたが、困惑しました。それは私のネットワークで動作しないIPアドレスを提供しているので、動的アドレスを必要とするすべてのデバイスは不正DHCPからアドレスを取得し、そのデバイスは動作を停止します。この物を見つけて破壊するのに助けが必要です!なんらかのトロイの木馬かもしれません。
私のメインルーターは唯一の有効なDHCPサーバーであり、192.160.0.150-199の範囲を提供する192.168.0.1であり、ADでこれを承認済みとして構成しています。このROGUE DHCPは、192.168.0.20から送信され、静的IPアドレスを割り当てない限り、ネットワーク上ですべてをめちゃくちゃにしている10.255.255。*の範囲のIPアドレスを提供していると主張しています。 192.168.0.20がネットワークに存在しません。
私のネットワークは、Windows 2008R2上の単一のADサーバー、4つのハイパーバイザーVM、3つのラップトップ、およびWindows 7ボックスを含む3つの他の物理サーバー(1-2008R2および2 2012R2)です。
不正な192.160.0.20 IPにpingできず、ARP -A出力に表示されないため、MACアドレスを取得できません。この投稿を読んでいる人がこれに遭遇したことを願っています。
影響を受けるWindowsクライアントの1つでパケットキャプチャ(Wireshark、Microsoftネットワークモニター、Microsoftメッセージアナライザーなど)を開始し、管理者特権のコマンドプロンプトからipconfig/releaseを実行します。 DHCPクライアントは、IPアドレスを取得したDHCPサーバーにDHCPRELEASE
メッセージを送信します。これにより、不正なDHCPサーバーのMACアドレスを取得できます。これをスイッチのMACアドレステーブルで追跡して、接続されているスイッチポートを見つけ、そのスイッチポートをネットワークジャックと接続されているデバイスまで追跡できます。その中に。
それを見つけた!!それは私のDCS-5030L D-Linkネットワークカメラでした!なぜこれが起こったのか私にはわかりません。これが私が見つけた方法です。
今、私は私の人生に乗り出すことができます!!皆様のご支援に感謝いたします。
二分探索を行います。
これにより、ネットワークが連続する2つのテストに分割されるため、1,000台のマシンがある場合、DHCPサーバーが実行されている個々のポートを見つけるために最大10回のテストが必要になる場合があります。
デバイスのプラグとプラグを抜くのに多くの時間を費やしますが、追加のツールやテクニックを追加しなくても、デバイスをdhcpサーバーに絞り込むことができるため、どの環境でも機能します。
あなたはただ:
ping 10.10.10.10
、これにより、コンピューターはdhcpサーバーのMACアドレスを検索し、それをARPテーブルに追加します。ファイアウォールでブロックされているとpingが失敗する可能性があることに注意してください。これは問題なく、問題を引き起こしません。arp -a| findstr 10.10.10.10
。これにより、MACアドレスのarpテーブルが照会されます。次のようなものが表示されます。
10.10.10.10 00-07-32-21-c7-5f dynamic
真ん中のエントリはMACアドレスです。
次に、joeqwertyの回答に従って、スイッチのMAC /ポートテーブルでそれを調べ、それについて支援が必要な場合はポストバックします。
Wiresharkをインストールする必要はありません。