불량 DHCP 서버를 찾을 수 없습니다 제공하는 192.168.0.1이며 AD에서 Authorized로

지난 3-4 주 동안 네트워크에서 불량 DHCP 서버를 찾으려고했지만 실패했습니다! 내 네트워크에서 작동하지 않는 IP 주소를 제공하므로 동적 주소가 필요한 모든 장치가 Rogue DHCP에서 가져오고 장치가 작동을 멈 춥니 다. 이걸 찾아서 파괴하는 데 도움이 필요합니다! 나는 그것이 일종의 트로이 목마일지도 모른다고 생각합니다.

내 주 라우터는 유일하게 유효한 DHCP 서버이며 192.160.0.150-199 범위를 제공하는 192.168.0.1이며 AD에서 Authorized로 구성했습니다. 이 ROGUE DHCP는 192.168.0.20에서 제공되며 10.255.255. * 범위의 IP 주소를 제공한다고 주장합니다. 고정 IP 주소를 할당하지 않으면 네트워크의 모든 것이 망쳐집니다. 192.168.0.20이 네트워크에 없습니다.

내 네트워크는 Windows 2008R2의 단일 AD 서버, 3 대의 다른 물리적 서버 (1-2008R2 및 2 2012R2), 약 4 개의 하이퍼 바이저 VM, 3 대의 랩톱 및 Windows 7 상자입니다.

불량 192.160.0.20 IP를 ping 할 수 없으며 ARP -A 출력에서 ​​볼 수 없으므로 MAC 주소를 얻을 수 없습니다. 이 게시물을 읽는 사람이 전에 이것을 보았기를 바랍니다.

답변

영향을받는 Windows 클라이언트 중 하나에서 패킷 캡처 (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer 등)를 시작한 다음 관리자 권한 명령 프롬프트에서 ipconfig / release를 실행하십시오 . DHCP 클라이언트는 DHCPRELEASEIP 주소를 얻은 메시지를 DHCP 서버에 보냅니다 . 이를 통해 불량 DHCP 서버의 MAC 주소를 얻을 수 있습니다. 그러면 스위치 MAC 주소 테이블에서 추적하여 연결된 스위치 포트를 찾은 다음 해당 스위치 포트를 네트워크 잭에 연결하고 장치를 꽂을 수 있습니다 그것에.

답변

그것을 발견!! 내 DCS-5030L D-Link 네트워크 카메라였습니다! 왜 이런 일이 일어 났는지 전혀 모른다. 이것이 내가 찾은 방법입니다.

  1. 랩톱 IP 주소를 10.255.255.150/255.255.255.0/10.255.255.1 및 DNS 서버 8.8.8.8로 변경하여 불량 dhcp가 디싱하는 범위 내에있게되었습니다.
  2. 그런 다음 ipconfig / all을 수행하여 ARP 테이블을 채 웁니다.
  3. arp -a를 수행하여 표에있는 IP 목록을 얻었으며 불량 DHCP 서버의 게이트웨이 인 10.255.255.1의 MAC 주소가있었습니다!
  4. 그런 다음 Nirsoft.net의 Wireless Network Watcher를 사용하여 찾은 MAC 주소에서 장치의 실제 IP 주소를 찾을 수있었습니다. Rogue DHCP의 실제 IP는 192.168.0.153이며 이는 카메라에 의해 동적으로 선택되었습니다.
  5. 그런 다음 카메라 웹 페이지에 로그온하여 루즈 DHCP 서버의 IP 주소 인 192.168.0.20으로 설정되어 있음을 확인했습니다.
  6. 그런 다음 고정 IP로 전환하고 192.160.0.20으로 유지했습니다.

이제 나는 내 인생을 시작할 수 있습니다! 지원해 주셔서 감사합니다.

답변

이진 검색을 수행하십시오.

  1. 케이블 반을 분리
  2. 여전히 ‘/ ipconfig release’테스트 사용
  3. 그렇다면 나머지 절반을 분리하고 2로 이동하십시오.
  4. 그렇지 않은 경우 이전에 분리 한 전반의 절반을 다시 연결하고 후반을 분리하고 2로 이동하십시오.

이렇게하면 네트워크가 연속 테스트마다 2 개씩 분할되므로 1,000 대의 시스템이있는 경우 DHCP 서버가 실행중인 개별 포트를 찾기 위해 최대 10 개의 테스트가 필요할 수 있습니다.

장치를 연결하고 연결 해제하는 데 많은 시간이 걸리지 만 많은 추가 도구와 기술없이 장치를 dhcp 서버로 좁히므로 모든 환경에서 작동합니다.

답변

당신은 단지 할 수 있습니다 :

  • 네트워크 및 공유 센터 (네트워크 트레이 아이콘을 시작하거나 마우스 오른쪽 단추로 클릭)를 열고 파란색 연결 링크-> 세부 사항을 클릭하십시오.
  • ipv4 dhcp 주소를 찾으십시오 (이 예에서는 10.10.10.10입니다)
  • 시작 메뉴에서 명령 프롬프트를 엽니 다.
  • 예를 들어 ip를 핑 ping 10.10.10.10하면 컴퓨터가 dhcp 서버의 MAC 주소를 찾아 ARP 테이블에 추가하도록합니다. 방화벽이 차단되어 있으면 핑이 실패 할 수 있다는 점에 유의하십시오. 문제가되지 않습니다.
  • arp -a| findstr 10.10.10.10. MAC 주소에 대한 arp 테이블을 쿼리합니다.

다음과 같은 내용이 표시됩니다.

10.10.10.10       00-07-32-21-c7-5f     dynamic

중간 항목은 MAC 주소입니다.

그런 다음 joeqwerty의 답변에 따라 스위치 MAC / 포트 테이블에서 찾아보십시오. 도움이 필요하면 다시 게시하십시오.

wireshark를 설치할 필요가 없습니다.

답변