Impossibile trovare il server DHCP non autorizzato

Nelle ultime 3-4 settimane ho cercato di trovare un server DHCP non autorizzato sulla mia rete ma sono rimasto sconcertato! Offre indirizzi IP che non funzionano con la mia rete, quindi qualsiasi dispositivo che necessita di un indirizzo dinamico ne ottiene uno dal DHCP non autorizzato e quindi quel dispositivo smette di funzionare. Ho bisogno di aiuto per trovare e distruggere questa cosa! Penso che potrebbe essere un Trojan di qualche tipo.

Il mio router principale è l'unico server DHCP valido ed è 192.168.0.1 che offre un intervallo di 192.160.0.150-199 e questo è configurato nel mio annuncio come autorizzato. Questo DHCP di ROGUE afferma di provenire da 192.168.0.20 e offre un indirizzo IP nell'intervallo 10.255.255. * Che rovina TUTTO sulla mia rete a meno che non gli assegni un indirizzo IP statico. 192.168.0.20 non esiste sulla mia rete.

La mia rete è un singolo server AD su Windows 2008R2, altri 3 server fisici (1-2008R2 e 2 2012R2) su 4 VM Hypervisor, 3 laptop e una scatola di Windows 7.

Non riesco a eseguire il ping dell'IP 192.160.0.20 canaglia e non riesco a vederlo nell'output ARP -A, quindi non riesco a ottenere il suo indirizzo MAC. Spero che qualcuno che abbia letto questo post lo abbia mai visto prima.

Su uno dei client Windows interessati avviare un'acquisizione di pacchetti (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, ecc.), Quindi da un prompt dei comandi con privilegi elevati eseguire ipconfig / release . Il client DHCP invierà un DHCPRELEASEmessaggio al server DHCP da cui ha ottenuto l'indirizzo IP. Ciò dovrebbe consentire di ottenere l'indirizzo MAC del server DHCP non autorizzato, che è quindi possibile rintracciare nella tabella degli indirizzi MAC dello switch per scoprire a quale porta dello switch è collegato, quindi tracciare quella porta dello switch sulla presa di rete e il dispositivo collegato dentro.

Trovato!! Era la mia DCS-5030L D-Link Network Camera! Non ho idea del perché sia ​​successo. È così che l'ho trovato.

1. Ho cambiato l'indirizzo IP del mio laptop in 10.255.255.150/255.255.255.0/10.255.255.1 e il server DNS 8.8.8.8 in modo che si trovasse nell'intervallo di ciò che stava uscendo il rhdp dhcp.
2. Ho quindi fatto un ipconfig / all per popolare la tabella ARP.
3. Ha fatto un arp -a per ottenere un elenco degli IP nella tabella e c'era l'indirizzo MAC per 10.255.255.1 che è il gateway del server DHCP canaglia!
4. Ho quindi utilizzato Wireless Network Watcher da Nirsoft.net in modo da poter trovare l'indirizzo IP REALE del dispositivo dall'indirizzo MAC che ho trovato. L'IP effettivo del DHCP non autorizzato era 192.168.0.153, acquisito dinamicamente dalla telecamera.
5. Ho quindi effettuato l'accesso alla pagina Web della fotocamera e ho visto che era precedentemente impostato su 192.168.0.20, che era l'indirizzo IP del server DHCP rouge.
6. Quindi l'ho passato a un IP statico e l'ho tenuto come 192.160.0.20.

Ora posso andare avanti con la mia vita !! Grazie a tutti per il supporto.

Esegui una ricerca binaria.

1. Scollegare metà dei cavi
2. Utilizzando il test "/ ipconfig release" se è ancora lì
3. In tal caso, scollegare un'altra metà del rimanente e andare a 2
4. In caso contrario, ricollegare la metà della prima metà precedentemente disconnessa, scollegare la seconda metà e andare a 2

Ciò dividerà la rete in due per ogni test successivo, quindi se hai 1.000 macchine potrebbero essere necessari fino a 10 test per trovare la singola porta su cui è in esecuzione il server DHCP.

Passerai molto tempo a collegare e scollegare i dispositivi, ma lo restringerà al server dhcp senza molti strumenti e tecniche aggiuntivi, quindi funzionerà in qualsiasi ambiente.

Potresti semplicemente:

• Aprire la rete e il centro di condivisione (o dall'inizio o fare clic con il pulsante destro del mouse sull'icona della barra di rete), fare clic sul collegamento di connessione blu -> dettagli.
• trova l'indirizzo dhcp ipv4 (in questo esempio è il 10.10.10.10)
• Apri il prompt dei comandi dal menu Start.
• esegui il ping dell'ip ping 10.10.10.10, ad esempio , questo costringe il computer a cercare l'indirizzo MAC del server DHCP e ad aggiungerlo alla tabella ARP, tieni presente che il ping potrebbe fallire se c'è un firewall che lo blocca, va bene e non causerà problemi.
• fare arp -a| findstr 10.10.10.10. Questo interroga la tabella arp per l'indirizzo MAC.

Vedrai qualcosa del tipo:

10.10.10.10       00-07-32-21-c7-5f     dynamic

La voce centrale è l'indirizzo MAC.

Quindi cercalo nella tabella MAC / Port degli switch secondo la risposta di joeqwerty, invia di nuovo se hai bisogno di assistenza.

Non è necessario installare WireShark.