stream氓DHCP服务器无法find

在过去的3-4个星期里，我一直在试图在我的networking上find一个stream氓DHCP服务器，但一直难倒！它提供的IP地址不能与我的networking配合使用，所以任何需要dynamic地址的设备都会从恶意DHCP获取一个，然后该设备停止工作。我需要帮助来发现和摧毁这个东西！我认为这可能是某种木马。

我的主路由器是唯一有效的DHCP服务器，是192.168.0.1，它提供了一个范围192.160.0.150-199，我已经在我的ADconfiguration为授权。这ROGUE DHCP声称来自192.168.0.20，并提供一个在10.255.255。*范围内的IP地址，这是搞乱我的networking上的一切，除非我分配一个静态的IP地址。我的networking上不存在192.168.0.20。

我的networking是Windows 2008R2上的单个AD服务器，3个其他物理服务器（1-2008R2和2个2012R2），大约有4个虚拟机pipe理程序虚拟机，3台笔记本电脑和一个Windows 7机器。

我无法pingstream氓192.160.0.20 IP，我不能看到它在ARP -A输出，所以我不能得到它的MAC地址。我希望有人阅读这个post以前遇到过这个。

在其中一个受影响的Windows客户端启动数据包捕获（Wireshark，Microsoftnetworking监视器，Microsoft消息分析器等），然后从提升的命令提示符下运行ipconfig / release 。 DHCP客户端将发送一个DHCPRELEASE消息到DHCP服务器，它从中获取它的IP地址。这应该允许您获取恶意DHCP服务器的MAC地址，然后您可以在交换机MAC地址表中追踪它，以确定它所连接的交换机端口，然后将该交换机端口跟踪到networking插孔，并将设备插入进去。

find了！！这是我的DCS-5030L D-Linknetworking摄像机！我不知道为什么会发生这种情况。这就是我的发现。

我将我的笔记本电脑IP地址更改为10.255.255.150/255.255.255.0/10.255.255.1和DNS服务器8.8.8.8，以便它将在stream氓DHCP的范围内。
然后我做了一个ipconfig / all来填充ARP表。
做了一个arp -a来获取表中IP的列表，并且有一个是DHCPstream氓服务器网关的10.255.255.1的MAC地址！
然后，我使用Nirsoft.net的无线networking观察器，以便从我find的MAC地址中find设备的真实IP地址。恶意DHCP的实际IP是192.168.0.153，这是相机dynamic拾取的。
然后，我login到相机网页，看到它已被设置为192.168.0.20这是红色的DHCP服务器的IP地址。
然后我把它切换到一个静态的IP，并保持为192.160.0.20。

现在我可以继续我的生活！感谢大家的支持。

你可以只是：

打开networking和共享中心（从开始或右键单击networking托盘图标），单击蓝色的连接链接 – >细节。
findipv4 dhcp地址（在这个例子中是10.10.10.10）
从开始菜单打开命令提示符。
ping该ip例如ping 10.10.10.10 ，这迫使计算机查找DHCP服务器的MAC地址，并将其添加到ARP表，请注意，如果ping有可能会失败，如果有防火墙阻止它，这是好的，不会导致的问题。
做arp -a| findstr 10.10.10.10 arp -a| findstr 10.10.10.10 。这将查询ARP表的MAC地址。

你会看到像这样的东西：

 10.10.10.10 00-07-32-21-c7-5f dynamic

中间的条目是MAC地址。

然后根据joeqwerty的答案在交换机MAC /端口表中查找它，如果您需要帮助，请发回。

无需安装wireshark。

做一个二进制search。

断开一半电缆
如果仍然存在，使用'/ ipconfig release'testing
如果是的话，断开剩下的一半，转到2
如果没有，重新连接前一半断开的前半部分，断开后半部分并转到2

这将把networking分成两个连续的testing，所以如果你有1000台机器，最多可能需要10次testing才能find运行DHCP服务器的单个端口。