不正なDHCPサーバーが見つかりません

44

過去3〜4週間にわたって、ネットワーク上で不正なDHCPサーバーを見つけようとしましたが、困惑していました。ネットワークで機能しないIPアドレスを提供しているため、動的アドレスを必要とするデバイスはすべて、不正なDHCPから取得し、そのデバイスは動作を停止します。この物を見つけて破壊するには助けが必要です！何らかのトロイの木馬である可能性があります。

私のメインルータは唯一の有効なDHCPサーバーであり、192.160.0.150-199の範囲を提供する192.168.0.1であり、ADでこれを許可済みとして構成しています。このROGUE DHCPは、192.168.0.20から来て、10.255.255。*の範囲のIPアドレスを提供すると主張します。これは、静的IPアドレスを割り当てない限り、ネットワーク上のすべてを台無しにします。192.168.0.20がネットワークに存在しません。

私のネットワークは、Windows 2008R2上の単一のADサーバー、3つの他の物理サーバー（1〜2008R2と2つの2012R2）、約4つのハイパーバイザーVM、3つのラップトップ、およびWindows 7ボックスです。

不正な192.160.0.20 IPにpingを実行できず、ARP -A出力に表示されないため、MACアドレスを取得できません。私はこの投稿を読んでいる人が以前にこれに出くわしたことを望んでいます。

networking dhcp-server

— デイブ・スチュアート
ソース

12

私はWindows側では助けになりませんが、Linuxを使用している場合は、クライアントでtcpdumpを使用してパケットキャプチャを取得します。これは、悪いdhcpリースを取得したためです。パケットキャプチャには、オファーを送信したシステムのMACアドレスが含まれている必要があります。それをトレースします。

— ユニックス

7

すべてを取り外して、一度に1つずつネットワークに戻すことができますか？

— -RS

1

1）おそらく、不正なサーバーのMACを見ることができます（トロイの木馬がそれを変更しなかった場合）、そして-クライアントのMACからのリストを持っていない場合grep、以前の（まだclean）DHCPログ。2）他に機能しない場合：マシンの半分をネットから抜き、彼がまだここにいるかどうかを確認します。だから、あなたは知っているでしょう、その半分は悪者です。その後、発見された半分で同じように。

— user259412

4

どのルーター？ルーター自体が感染している可能性があります。

— J ...

1

どのタイプのスイッチがありますか？管理対象か管理対象外か？ブランド？型？スイッチの機能によっては、問題を解決する方法がいくつかあります。

— ラファエルルーティガー

53

影響を受けるWindowsクライアントの1つでパケットキャプチャ（Wireshark、Microsoft Network Monitor、Microsoft Message Analyzerなど）を開始し、昇格したコマンドプロンプトからipconfig / releaseを実行します。DHCPクライアントは、DHCPRELEASEIPアドレスを取得したメッセージをDHCPサーバーに送信します。これにより、不正なDHCPサーバーのMACアドレスを取得できるようになります。これは、スイッチのMACアドレステーブルで追跡し、接続されているスイッチポートを見つけ、そのスイッチポートをネットワークジャックと接続されたデバイスまでトレースできますそれに。

— joeqwerty
ソース

1

管理されていないスイッチのMACアドレスとARPテーブルを表示するにはどうすればよいですか？

— 大

25

@Daiステップ0：管理スイッチを購入します。それは常に選択肢ではないことはわかっていますが、通常、ネットワークは十分な大きさで十分な価値があるか、すべてのマシンを歩き回って調査するのが難しい仕事ではないほど小さくなっています。

— オリ

1

@Daiスイッチのメーカーとモデルは何ですか？

— ハーゲンフォンアイゼン

19

管理されていないスイッチがある場合、MACアドレスはまだ何かを提供します- ベンダーを検索して、どのブランドのハードウェアを探すべきかを考え、そしてarpingなどのツールを使用してルージュをping できますスイッチポートを取り外して、どのポートに接続されているかを判断します。

— マイケルコーネ

2

@Oliが言ったこと。この時代に完全に管理可能なスイッチインフラストラクチャがない場合、問題は、不正なDHCPサーバーが見つからないということではありません。何も見つからないということです。

— MadHatterはモニカをサポートします

37

それを見つけた！！それは私のDCS-5030L D-Linkネットワークカメラでした！私はこれがなぜ起こったのか分かりません。これが私が見つけた方法です。

私はラップトップのIPアドレスを10.255.255.150/255.255.255.0/10.255.255.1とDNSサーバー8.8.8.8に変更して、不正なdhcpの影響範囲内に収まるようにしました。
次に、ipconfig / allを実行してARPテーブルにデータを入力しました。
テーブル内のIPのリストを取得するためにarp -aを実行し、不正なDHCPサーバーのゲートウェイである10.255.255.1のMACアドレスがありました！
次に、Nirsoft.netのWireless Network Watcherを使用して、見つかったMACアドレスからデバイスの実際のIPアドレスを見つけました。不正なDHCPの実際のIPは192.168.0.153で、これはカメラによって動的に取得されました。
次に、カメラのWebページにログオンしましたが、それが以前に不正なDHCPサーバーのIPアドレスである192.168.0.20に設定されていたことがわかりました。
次に、静的IPに切り替えて、192.160.0.20のままにしました。

今、私は私の人生を続けることができます!! サポートしてくれてありがとう。

— デイブ・スチュアート
ソース

25

ネットワークカメラがDHCPサーバーを実行していた場合、マルウェアで侵害されていると思われます。意図的にDHCPを実行するカメラはありません。D-Linkのドキュメントで調べたところ、サーバーを実行する機能がありますが、意図的にそのように構成されていれば非常に驚かされます。マルウェアをチェックして、多くのカメラがそのようにハイジャックされています。

— ザンリンクス

3

ネットワークカメラにDHCPサーバーがあるのはなぜですか？

— ロンジョン

14

@RonJohnを使用すると、独自のDHCPサーバーを持たないスタンドアロンネットワーク上の設定Webページにアクセスできます。そのようなデバイスがDHCPサーバーを持つのは馬鹿げていることに同意しますが、それが彼らがそうする理由です。

— モシェ・カッツ

7

@ZanLynx意図的にDHCPを実行するカメラはありません ...多くのソフトウェアエンジニアリングマネージャーに会ったことがありません;）

— txtechhelp

3

IoTのSはセキュリティの略です。

— パトリックM

18

バイナリ検索を実行します。

ケーブルの半分を外します
「/ ipconfig release」テストがまだ存在する場合の使用
その場合、残りの半分を切断して2に進みます。
そうでない場合は、前に切断した前半の半分を再接続し、後半を切断して2に進みます。

これにより、ネットワークが連続する2つのテストに分割されるため、1,000台のマシンがある場合、DHCPサーバーが実行されている個々のポートを見つけるために最大10回のテストが必要になる場合があります。

デバイスの接続と接続解除に多くの時間を費やしますが、追加のツールやテクニックを追加しなくてもdhcpサーバーに絞り込むことができるため、どの環境でも機能します。

— アダム・デイビス
ソース

3

管理されていないスイッチのアンプラグ検索を行うより良い方法。+1

— トッドウィルコックス

マシンではなく、スイッチ自体を探します。これにより、1つのスイッチに簡単に絞り込めます。

— ローレンペクテル

@LorenPechtelはい、複数のスイッチがある場合、バイナリアルゴリズムはネットワークの半分を切断するために1本または2本のケーブルを切断するだけで済みます。

— アダムデイビス

17

あなたはただ：

ネットワークと共有センターを開き（開始から、またはネットワークトレイアイコンを右クリックして）、青い接続リンク->詳細をクリックします。
ipv4 dhcpアドレスを見つけます（この例では10.10.10.10です）
[スタート]メニューからコマンドプロンプトを開きます。
そのIPをpingしますping 10.10.10.10。これにより、コンピューターは強制的にdhcpサーバーのMACアドレスを検索し、ARPテーブルに追加します。ファイアウォールがそれをブロックしている場合、pingが失敗する可能性があることに注意してください、これは問題なく、問題は発生しません。
やりますarp -a| findstr 10.10.10.10。MACアドレスのarpテーブルを照会します。

次のように表示されます。

10.10.10.10       00-07-32-21-c7-5f     dynamic

中央のエントリはMACアドレスです。

次に、joeqwertyの回答に従ってスイッチのMAC /ポートテーブルを調べ、サポートが必要な場合はポストバックします。

wiresharkをインストールする必要はありません。

— アーロン・テイト
ソース

4

OPは、DHCPサーバーのIPアドレスをpingできず、ARPテーブルでMACアドレスを見つけることができなかったと言ったので、答えを投稿しました。彼はあなたの提案で成功するかもしれないし、成功しないかもしれませんが、あなたの提案ははるかに単純で、より簡単なアプローチです。

— joeqwerty