Serveur DHCP non autorisé introuvable

Au cours des 3-4 dernières semaines, j'ai essayé de trouver un serveur DHCP non autorisé sur mon réseau, mais je suis resté bloqué! Il propose des adresses IP qui ne fonctionnent pas avec mon réseau. Ainsi, tout périphérique nécessitant une adresse dynamique en reçoit une du serveur DHCP non autorisé, puis ce périphérique cesse de fonctionner. J'ai besoin d'aide pour trouver et détruire cette chose! Je pense que cela pourrait être un cheval de Troie.

Mon routeur principal est le seul serveur DHCP valide. Il s'agit de 192.168.0.1, qui offre une plage de 192.160.0.150-199, configurée comme autorisée dans mon AD. Ce DHCP ROGUE prétend provenir de 192.168.0.20 et offrir une adresse IP dans la plage de 10.255.255. *, Ce qui gâte TOUT sur mon réseau à moins que je ne lui attribue une adresse IP statique. 192.168.0.20 n'existe pas sur mon réseau.

Mon réseau est un serveur AD unique sur Windows 2008R2, 3 autres serveurs physiques (1-2008R2 et 2 2012R2) sur 4 ordinateurs virtuels Hypervisor, 3 ordinateurs portables et un ordinateur Windows 7.

Je ne peux pas cingler l'adresse IP non autorisée 192.160.0.20 et je ne la vois pas dans la sortie ARP -A, je ne peux donc pas obtenir son adresse MAC. J'espère que quelqu'un qui lit cet article a déjà rencontré cela.

Sur l'un des clients Windows concernés, démarrez une capture de paquet (Wireshark, Moniteur réseau, Microsoft Message Analyzer, etc.), puis exécutez ipconfig / release à partir d'une invite de commande avec privilèges élevés . Le client DHCP enverra un DHCPRELEASEmessage au serveur DHCP par lequel il a obtenu son adresse IP. Cela devrait vous permettre d’obtenir l’adresse MAC du serveur DHCP non autorisé, que vous pourrez ensuite localiser dans la table d’adresses MAC du commutateur pour déterminer le port du commutateur auquel il est connecté, puis tracer ce port du commutateur jusqu’à la prise réseau et au périphérique branché. dans ça.

Je l'ai trouvé !! C’était ma caméra réseau D-Link DCS-5030L! Je n'ai aucune idée pourquoi c'est arrivé. C'est comme ça que je l'ai trouvé.

1. J'ai changé l'adresse IP de mon ordinateur portable en 10.255.255.150/255.255.255.0/10.255.255.1 et le serveur DNS 8.8.8.8 afin que ce soit dans la plage de ce que le dhcp non autorisé produisait.
2. J'ai ensuite fait un ipconfig / all pour remplir la table ARP.
3. Est-ce qu'un arp -a a eu pour obtenir une liste des IP dans la table et il y avait l'adresse MAC pour 10.255.255.1 qui est la passerelle du serveur DHCP non autorisé!
4. J'ai ensuite utilisé Wireless Network Watcher de Nirsoft.net pour pouvoir trouver l'adresse IP réelle du périphérique à partir de l'adresse MAC trouvée. L'adresse IP réelle du serveur Rogue DHCP était 192.168.0.153, qui a été captée de manière dynamique par la caméra.
5. Je me suis ensuite connecté à la page Web de la caméra et j'ai constaté qu'il était auparavant défini sur 192.168.0.20, qui correspond à l'adresse IP du serveur DHCP rouge.
6. Ensuite, je l'ai basculé sur une adresse IP statique et l'ai conservé sous le nom 192.160.0.20.

Maintenant je peux continuer ma vie !! Merci à tous pour votre soutien.

Faites une recherche binaire.

1. Débranchez la moitié des câbles
2. Utiliser le test '/ ipconfig release' s'il est toujours là
3. Si c'est le cas, déconnectez une autre moitié du reste et passez à 2
4. Sinon, reconnectez la moitié de la première moitié précédemment déconnectée, déconnectez la seconde moitié et passez à 2

Cela divisera le réseau en deux chaque test successif. Ainsi, si vous avez 1 000 machines, 10 tests peuvent être nécessaires pour trouver le port individuel sur lequel le serveur DHCP est exécuté.

Vous passerez beaucoup de temps à brancher et à débrancher des périphériques, mais cela se limitera au serveur DHCP sans beaucoup d'outils et de techniques supplémentaires, de sorte que cela fonctionnera dans n'importe quel environnement.

Vous pourriez juste:

• Ouvrez le réseau et le centre de partage (depuis le début ou cliquez avec le bouton droit de la souris sur l’icône de la barre des tâches réseau), cliquez sur le lien de connexion bleu -> détails.
• trouver l'adresse ipv4 dhcp (dans cet exemple, il s'agit de 10.10.10.10)
• Ouvrez l'invite de commande dans le menu Démarrer.
• ping cette ping 10.10.10.10adresse IP, par exemple , cela force l’ordinateur à rechercher l’adresse MAC du serveur DHCP et à l’ajouter à la table ARP; sachez que le test Ping peut échouer s’il est bloqué par un pare-feu; cela ne pose aucun problème.
• faire arp -a| findstr 10.10.10.10. Ceci interroge la table arp pour l'adresse MAC.

Vous verrez quelque chose comme:

10.10.10.10       00-07-32-21-c7-5f     dynamic

L'entrée du milieu est l'adresse MAC.

Recherchez ensuite dans la table des commutateurs MAC / Port conformément à la réponse de joeqwerty, envoyez-la en arrière si vous avez besoin d’aide à cet égard.

Pas besoin d'installer Wirehark.