불량 DHCP 서버를 찾을 수 없습니다


44

지난 3-4 주 동안 네트워크에서 불량 DHCP 서버를 찾으려고했지만 실패했습니다! 내 네트워크에서 작동하지 않는 IP 주소를 제공하므로 동적 주소가 필요한 모든 장치가 Rogue DHCP에서 가져오고 장치가 작동을 멈 춥니 다. 이걸 찾아서 파괴하는 데 도움이 필요합니다! 나는 그것이 일종의 트로이 목마일지도 모른다고 생각합니다.

내 주 라우터는 유일하게 유효한 DHCP 서버이며 192.160.0.150-199 범위를 제공하는 192.168.0.1이며 AD에서 Authorized로 구성했습니다. 이 ROGUE DHCP는 192.168.0.20에서 제공되며 10.255.255. * 범위의 IP 주소를 제공한다고 주장합니다. 고정 IP 주소를 할당하지 않으면 네트워크의 모든 것이 망쳐집니다. 192.168.0.20이 네트워크에 없습니다.

내 네트워크는 Windows 2008R2의 단일 AD 서버, 3 대의 다른 물리적 서버 (1-2008R2 및 2 2012R2), 약 4 개의 하이퍼 바이저 VM, 3 대의 랩톱 및 Windows 7 상자입니다.

불량 192.160.0.20 IP를 ping 할 수 없으며 ARP -A 출력에서 ​​볼 수 없으므로 MAC 주소를 얻을 수 없습니다. 이 게시물을 읽는 사람이 전에 이것을 보았기를 바랍니다.


12
Windows 측에서는 도움이되지 않지만 Linux를 사용하는 경우 잘못된 DHCP 임대를 얻었을 때 클라이언트에서 tcpdump로 패킷 캡처를 수행합니다. 패킷 캡처에는 오퍼를 전송 한 시스템의 mac 주소가 있어야합니다. 그것을 추적하십시오.
yoonix

7
모든 것을 분리하고 한 번에 하나씩 네트워크에 다시 넣을 수 있습니까?
RS

1
1) 불량 서버의 MAC을 볼 수 있습니다 (트로이 목마가 변경하지 않은 경우). 클라이언트의 MAC에서 목록이없는 경우 grep이전 버전에서도 가능합니다. clean) DHCP 로그. 2) 다른 방법이 없다면, 기계의 절반을 그물에서 뽑아서 여전히 여기 있는지 확인하십시오. 따라서 반은 나쁜 사람입니다. 그런 다음 절반도 마찬가지입니다.
user259412

4
어떤 라우터? 라우터 자체가 감염되었을 수 있습니다.
J ...

1
어떤 종류의 스위치가 있습니까? 관리 또는 비 관리? 상표? 모델? 스위치의 기능에 따라 문제를 해결하는 방법이 더있을 수 있습니다.
라파엘 루티 거

답변:


53

영향을받는 Windows 클라이언트 중 하나에서 패킷 캡처 (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer 등)를 시작한 다음 관리자 권한 명령 프롬프트에서 ipconfig / release를 실행하십시오 . DHCP 클라이언트는 DHCPRELEASEIP 주소를 얻은 메시지를 DHCP 서버에 보냅니다 . 이를 통해 불량 DHCP 서버의 MAC 주소를 얻을 수 있습니다. 그러면 스위치 MAC 주소 테이블에서 추적하여 연결된 스위치 포트를 찾은 다음 해당 스위치 포트를 네트워크 잭에 연결하고 장치를 꽂을 수 있습니다 그것에.


1
관리되지 않는 스위치의 MAC 주소 및 ARP 테이블을 보려면 어떻게합니까?
다이

25
@Dai Step 0 : 매니지드 스위치 구매 나는 이것이 항상 옵션이 아니라는 것을 알고 있지만 일반적으로 네트워크는 가치가 있거나 충분히 작아서 모든 컴퓨터로 걸어 다니며 심문하는 것이 어렵지 않습니다.
Oli

1
@Dai 스위치는 어떤 모델과 모델입니까?
Hagen von Eitzen

19
당신은 찾아 볼 수 있습니다 - 당신이 관리되지 않는 스위치가있는 경우 MAC 주소는 여전히 당신과 함께 일에 무엇인가를 줄 공급 업체에 당신이 보는 하드웨어의 어떤 브랜드 아이디어가 그래서, 당신은 같은 도구를 사용할 수 arping 루즈 동안 핑 (ping) 스위치 포트를 분리하여 연결된 포트를 해결하십시오.
Michael Kohne

2
@Oli가 말한 것. 오늘날과 같이 완전히 관리 가능한 스위치 인프라가없는 경우 불량 DHCP 서버를 찾을 수 없다는 것이 문제가 아닙니다. 아무것도 찾을 수 없습니다 .
MadHatter

37

그것을 발견!! 내 DCS-5030L D-Link 네트워크 카메라였습니다! 왜 이런 일이 일어 났는지 전혀 모른다. 이것이 내가 찾은 방법입니다.

  1. 랩톱 IP 주소를 10.255.255.150/255.255.255.0/10.255.255.1 및 DNS 서버 8.8.8.8로 변경하여 불량 dhcp가 디싱하는 범위 내에있게되었습니다.
  2. 그런 다음 ipconfig / all을 수행하여 ARP 테이블을 채 웁니다.
  3. arp -a를 수행하여 표에있는 IP 목록을 얻었으며 불량 DHCP 서버의 게이트웨이 인 10.255.255.1의 MAC 주소가있었습니다!
  4. 그런 다음 Nirsoft.net의 Wireless Network Watcher를 사용하여 찾은 MAC 주소에서 장치의 실제 IP 주소를 찾을 수있었습니다. Rogue DHCP의 실제 IP는 192.168.0.153이며 이는 카메라에 의해 동적으로 선택되었습니다.
  5. 그런 다음 카메라 웹 페이지에 로그온하여 루즈 DHCP 서버의 IP 주소 인 192.168.0.20으로 설정되어 있음을 확인했습니다.
  6. 그런 다음 고정 IP로 전환하고 192.160.0.20으로 유지했습니다.

이제 나는 내 인생을 시작할 수 있습니다! 지원해 주셔서 감사합니다.


25
네트워크 카메라가 DHCP 서버를 실행 중이라면 맬웨어로 인해 손상된 것 같습니다. 어떤 카메라도 의도적으로 DHCP를 실행하지 않습니다. 나는 그것을 D-Link 문서에서 찾아 보았고 서버를 실행할 수있는 능력이 있지만 의도적으로 그렇게 구성되어 있으면 매우 놀랐습니다. 악성 코드가 있는지 확인하십시오. 많은 카메라가 그런 식으로 납치되었습니다.
Zan Lynx

3
왜 세상에 네트워크 카메라에 DHCP 서버가 있을까요 ???
RonJohn

14
@RonJohn을 사용하면 자체 DHCP 서버가없는 독립형 네트워크에서 구성 웹 페이지에 액세스 할 수 있습니다. DHCP 서버가있는 장치는 어리 석다는 데 동의하지만 이것이 그 이유입니다.
Moshe Katz

7
@ZanLynx 카메라가 의도적으로 DHCP를 실행 하지 않습니다 ... 소프트웨어 엔지니어링 관리자를 많이 만난 적이 없습니다;)
txtechhelp


18

이진 검색을 수행하십시오.

  1. 케이블 반을 분리
  2. 여전히 '/ ipconfig release'테스트 사용
  3. 그렇다면 나머지 절반을 분리하고 2로 이동하십시오.
  4. 그렇지 않은 경우 이전에 분리 한 전반의 절반을 다시 연결하고 후반을 분리하고 2로 이동하십시오.

이렇게하면 네트워크가 연속 테스트마다 2 개씩 분할되므로 1,000 대의 시스템이있는 경우 DHCP 서버가 실행중인 개별 포트를 찾기 위해 최대 10 개의 테스트가 필요할 수 있습니다.

장치를 연결하고 연결 해제하는 데 많은 시간이 걸리지 만 많은 추가 도구와 기술없이 장치를 dhcp 서버로 좁히므로 모든 환경에서 작동합니다.


3
관리되지 않는 스위치를 분리하는 더 좋은 방법은 검색을 분리합니다. +1
토드 윌콕스

나는 기계보다는 스위치 자체를 따랐다. 하나의 스위치로 쉽게 좁힐 수 있습니다.
Loren Pechtel

@LorenPechtel 예, 스위치가 여러 개인 경우 이진 알고리즘은 네트워크의 절반을 연결 해제하기 위해 하나 또는 두 개의 케이블 연결을 해제하면됩니다.
Adam Davis

17

당신은 단지 할 수 있습니다 :

  • 네트워크 및 공유 센터 (네트워크 트레이 아이콘을 시작하거나 마우스 오른쪽 단추로 클릭)를 열고 파란색 연결 링크-> 세부 사항을 클릭하십시오.
  • ipv4 dhcp 주소를 찾으십시오 (이 예에서는 10.10.10.10입니다)
  • 시작 메뉴에서 명령 프롬프트를 엽니 다.
  • 예를 들어 ip를 핑 ping 10.10.10.10하면 컴퓨터가 dhcp 서버의 MAC 주소를 찾아 ARP 테이블에 추가하도록합니다. 방화벽이 차단되어 있으면 핑이 실패 할 수 있다는 점에 유의하십시오. 문제가되지 않습니다.
  • arp -a| findstr 10.10.10.10. MAC 주소에 대한 arp 테이블을 쿼리합니다.

다음과 같은 내용이 표시됩니다.

10.10.10.10       00-07-32-21-c7-5f     dynamic

중간 항목은 MAC 주소입니다.

그런 다음 joeqwerty의 답변에 따라 스위치 MAC / 포트 테이블에서 찾아보십시오. 도움이 필요하면 다시 게시하십시오.

wireshark를 설치할 필요가 없습니다.


4
OP는 DHCP 서버의 IP 주소를 핑 할 수 없으며 ARP 테이블에서 MAC 주소를 찾을 수 없다고 말했기 때문에 답변을 게시했습니다. 그는 당신의 제안으로 성공할 수도 있고 그렇지 않을 수도 있지만, 당신의 제안은 훨씬 간단하고 직접적인 접근입니다.
joeqwerty
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.