No se puede encontrar el servidor DHCP rebelde

¡Durante las últimas 3-4 semanas he estado tratando de encontrar un servidor DHCP falso en mi red, pero me he quedado perplejo! Está ofreciendo direcciones IP que no funcionan con mi red, por lo que cualquier dispositivo que necesite una dirección dinámica está obteniendo una del Rogue DHCP y luego ese dispositivo deja de funcionar. ¡Necesito ayuda para encontrar y destruir esta cosa! Creo que podría ser un troyano de algún tipo.

Mi enrutador principal es el único servidor DHCP válido y es 192.168.0.1 que ofrece un rango de 192.160.0.150-199, y tengo esto configurado en mi AD como autorizado. Este DHCP ROGUE afirma que proviene de 192.168.0.20 y ofrece una dirección IP en el rango de 10.255.255. * Que está estropeando TODO en mi red a menos que le asigne una dirección IP estática. 192.168.0.20 no existe en mi red.

Mi red es un único servidor AD en Windows 2008R2, otros 3 servidores físicos (1-2008R2 y 2 2012R2) sobre 4 máquinas virtuales Hypervisor, 3 computadoras portátiles y una caja de Windows 7.

No puedo hacer ping a la IP no autorizada 192.160.0.20, y no puedo verla en la salida ARP-A, por lo que no puedo obtener su dirección MAC. Espero que alguien que lea esta publicación haya encontrado esto antes.

En uno de los clientes de Windows afectados, inicie una captura de paquetes (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, etc.), luego, desde un símbolo del sistema elevado, ejecute ipconfig / release . El cliente DHCP enviará un DHCPRELEASEmensaje al servidor DHCP del que obtuvo su dirección IP. Esto debería permitirle obtener la dirección MAC del servidor DHCP falso, que luego puede rastrear en la tabla de direcciones MAC del conmutador para averiguar a qué puerto del conmutador está conectado, luego rastrear ese puerto del conmutador al conector de red y el dispositivo enchufado en ello.

¡¡Lo encontré!! ¡Era mi cámara de red DCS-5030L D-Link! No tengo idea de por qué sucedió esto. Así es como lo encontré.

1. Cambié la dirección IP de mi computadora portátil a 10.255.255.150/255.255.255.0/10.255.255.1 y el servidor DNS 8.8.8.8 para que estuviera en el rango de lo que el dhcp falso estaba distribuyendo.
2. Luego hice un ipconfig / all para llenar la tabla ARP.
3. ¡Hice un arp -a para obtener una lista de las IP en la tabla y estaba la dirección MAC para 10.255.255.1 que es la puerta de enlace del servidor DHCP falso!
4. Luego utilicé Wireless Network Watcher de Nirsoft.net para poder encontrar la dirección IP REAL del dispositivo desde la dirección MAC que encontré. La IP real del Rogue DHCP era 192.168.0.153, que la cámara recogió dinámicamente.
5. Luego inicié sesión en la página web de la cámara y vi que estaba configurada previamente en 192.168.0.20, que era la dirección IP del servidor DHCP Rouge.
6. Luego lo cambié a una IP estática y lo mantuve como 192.160.0.20.

¡Ahora puedo seguir con mi vida! Gracias a todos por el apoyo.

Haz una búsqueda binaria.

1. Desconecte la mitad de los cables.
2. Usando la prueba '/ ipconfig release' si todavía está allí
3. Si es así, desconecte otra mitad del resto y pase a 2
4. Si no, vuelva a conectar la mitad de la primera mitad desconectada previamente, desconecte la segunda mitad y pase a 2

Esto dividirá la red en dos pruebas sucesivas, por lo que si tiene 1,000 máquinas, puede tomar hasta 10 pruebas para encontrar el puerto individual en el que se ejecuta el servidor DHCP.

Pasará mucho tiempo conectando y desconectando dispositivos, pero lo reducirá al servidor dhcp sin muchas herramientas y técnicas adicionales, por lo que funcionará en cualquier entorno.

Podrías simplemente:

• Abra el centro de redes y recursos compartidos (ya sea desde el inicio o haga clic derecho en el icono de la bandeja de red), haga clic en el enlace de conexión azul -> detalles.
• encuentre la dirección ipv4 dhcp (en este ejemplo es 10.10.10.10)
• Abra el símbolo del sistema desde el menú de inicio.
• ping esa ip ping 10.10.10.10, por ejemplo , esto obliga a la computadora a buscar la dirección MAC del servidor dhcp y agregarla a la tabla ARP, tenga en cuenta que el ping puede fallar si hay un firewall bloqueándolo, esto está bien y no causará problemas.
• hacer arp -a| findstr 10.10.10.10. Esto consulta la tabla arp para la dirección MAC.

Verás algo como:

10.10.10.10       00-07-32-21-c7-5f     dynamic

La entrada del medio es la dirección MAC.

Luego búsquelo en la tabla MAC / Port del conmutador según la respuesta de joeqwerty, publique de nuevo si necesita ayuda con eso.

No es necesario instalar wireshark.