findstream氓DHCP服务器

可能重复:
如何查找networking上是否存在恶意DHCP服务器?

我知道这是一个严重的远射,但是我们走了。

在过去的一周左右,对于连接到我们networking中的特定交换机的用户(有四个哑连接交换机全部连接,并且仅影响一个交换机上的一些,而不是所有的用户)从非法DHCP服务器获取DHCP地址。

我已经实际检查了插入交换机的每根电缆,以确保它们中没有一个连接有路由器或WiFi点。 我知道DHCP服务器的IP地址,但是我无法ping通,并且没有networking接口。

有没有人有什么build议,我可以做什么来find它或closures它? 不幸的是,所有的交换机都是非托pipe的,如前所述,没有物理设备(我可以find)插入任何东西。

它变得越来越重要,因为它搞砸了大量瘦客户端的PXE启动。

    尝试nmap它使用-O来检测操作系统,可能会让你更好地了解它是什么服务器? 另外运行一个标准的端口扫描可能有助于弄清楚它是什么

    你不能ping通的事实不是问题。

    (这个程序主要用于pipe理型交换机,对于哑开关来说,这不是很有帮助,因为你无法检查凸轮表…但无论如何。)

    1. 运行ipconfig / all(或查看syslog),注意列出的“DHCP服务器”的IP地址。 通常这与默认网关相同。
    2. 试图ping这个IP地址,忽略结果。
    3. 运行arp -a。 为IP列出的MAC地址是您的stream氓DHCP服务器。

    所以,在你的情况下,你不能跟着这个find交换机端口并禁用它,但是你至less可以查findmac地址供应商,并且会发现这个供应商是vmware或者virtualbox。

    如果你有一个盒子,你可以在上面安装https://roguedetect.bountysource.com/ ,如果将来出现这样的问题,会通知你。

    那么,你总是可以尝试从它的平庸,并检查路由器上闪烁的灯光。 = P

    traceroute会告诉你什么?

    我知道这个问题已经解决了,但是另外一个方法是,当你真的找不到机器(知道虚拟机不知道它在哪个主机上),就是继续发送它的DHCP请求,并依次拔掉每根电缆,直到它闭嘴。 有时你只能回到粗糙的基础。

    运行Wireshark获取服务器的MAC地址。 它至less应该告诉你制造商(MAC地址集中分配,每个制造商分配一组地址)。