在过去的3周里,我一直试图在我的网络上找到一个流氓DHCP服务器但是却被难倒了!它提供的IP地址不适用于我的网络,因此任何需要动态地址的设备都会从Rogue DHCP中获取一个。我需要帮助来找到并销毁这个东西!
我的主路由器是唯一有效的DHCP服务器,并且是192.168.0.1,其范围为192.160.0.150-199。这个ROGUE DHCP声称来自192.168.0.20并提供了一个10.255.255范围内的IP地址。*除非我为其分配静态IP地址,否则会破坏我网络上的所有内容。
我的网络是Windows 2008R2上的单个AD服务器,3个其他物理服务器(1-2008R2和2 2012R2),大约4个管理程序计算机,3台笔记本电脑和1个Windows 7。
我无法ping通胭脂192.160.0.20 IP,我无法在ARP -A输出中看到它,所以我无法获取它的MAC地址。我希望有人读过这篇文章之前已经遇到过这个问题。
答案 0 :(得分:0)
在发送DHCP请求的系统上运行嗅探器。查看来自恶意DHCP服务器的响应数据包中的源MAC地址。接下来,转到交换机并拉出当前映射到CAM表中端口的MAC地址,以确定它连接到哪个端口。
如果您按照该线连接到最后,您将找到您的服务器。