सवाल दुष्ट डीएचसीपी सर्वर नहीं मिला


पिछले 3-4 हफ्तों में मैं अपने नेटवर्क पर एक दुष्ट डीएचसीपी सर्वर खोजने की कोशिश कर रहा हूं लेकिन स्टंप हो गया है! यह आईपी पते की पेशकश कर रहा है जो मेरे नेटवर्क के साथ काम नहीं करते हैं, इसलिए डायनामिक एड्रेस की आवश्यकता वाले किसी भी डिवाइस को दुष्ट डीएचसीपी में से एक मिल रहा है और फिर वह डिवाइस काम करना बंद कर देता है। मुझे इस चीज़ को खोजने और नष्ट करने में मदद चाहिए! मुझे लगता है कि यह किसी प्रकार का ट्रोजन हो सकता है।

मेरा मुख्य राउटर एकमात्र वैध डीएचसीपी सर्वर है और यह 1 9 2.168.0.1 है जो 1 9 2.160.0.150-199 की एक श्रृंखला प्रदान करता है, और मैंने इसे मेरे एडी में अधिकृत के रूप में कॉन्फ़िगर किया है। यह ROGUE DHCP 1 9 2.168.0.20 से आने का दावा करता है और 10.255.255 की सीमा में एक आईपी पता प्रदान करता है। * जो मेरे नेटवर्क पर सब कुछ गड़बड़ कर रहा है जब तक कि मैं इसे एक स्थिर आईपी पता निर्दिष्ट नहीं करता। 1 9 2.168.0.20 मेरे नेटवर्क पर मौजूद नहीं है।

मेरा नेटवर्क विंडोज 2008R2, 3 अन्य भौतिक सर्वर (1-2008R2 और 2 2012R2) पर एक एकल एडी सर्वर है, लगभग 4 हाइपरवाइजर वीएम, 3 लैपटॉप और विंडोज 7 बॉक्स।

मैं नकली 1 9 2.160.0.20 आईपी पिंग नहीं कर सकता, और मैं इसे एआरपी-ए आउटपुट में नहीं देख सकता, इसलिए मुझे इसका मैक पता नहीं मिल रहा है। मुझे उम्मीद है कि इस पोस्ट को पढ़ने वाले किसी ने पहले इस पर आ गया है।


44
2017-08-15 02:33


मूल


मुझे विंडोज़ पक्ष पर कोई मदद नहीं है, लेकिन अगर मैं लिनक्स पर था, तो मैं क्लाइंट पर टीसीपीडम्प के साथ पैकेट कैप्चर लेता था क्योंकि इसे खराब डीएचसीपी पट्टा प्राप्त हुआ था। पैकेट कैप्चर में उस सिस्टम का मैक पता होना चाहिए जो प्रस्ताव भेजता है। ट्रेस कि। - yoonix
क्या आप सबकुछ अनप्लग कर सकते हैं और चीजों को नेटवर्क पर एक बार वापस रख सकते हैं? - R. S.
1) आप संभावित सर्वर के मैक को देख सकते हैं (यदि ट्रोजन ने इसे नहीं बदला है), और - यदि आपके पास अपने क्लाइंट के मैक से कोई सूची नहीं है - तो आप कर सकते हैं grep इसके लिए आपके पहले (अभी तक साफ) डीएचसीपी लॉग में। 2) यदि कुछ और काम नहीं करता है: नेट से मशीनों का आधा हिस्सा प्लग करें, जांचें कि वह अभी भी यहां है या नहीं। तो आप जान लेंगे, जिसमें आधा बुरा आदमी है। फिर भी आधा पाया गया, और इसी तरह। - peterh
राउटर क्या है? यह हो सकता है कि राउटर स्वयं संक्रमित है। - J...
आपके पास किस प्रकार का स्विच है? प्रबंधित या अप्रबंधित? ब्रांड? आदर्श? स्विच की क्षमताओं के आधार पर आपको समस्या को हल करने के लिए कुछ और संभावनाएं हो सकती हैं। - Raffael Luthiger


जवाब:


प्रभावित विंडोज क्लाइंट्स में से एक पर एक पैकेट कैप्चर (Wireshark, माइक्रोसॉफ्ट नेटवर्क मॉनीटर, माइक्रोसॉफ्ट मैसेज विश्लेषक, आदि) शुरू करें, फिर एक उन्नत कमांड प्रॉम्प्ट से चलाएं ipconfig / रिलीज। डीएचसीपी क्लाइंट एक भेज देगा DHCPRELEASE डीएचसीपी सर्वर को संदेश है कि उसने इसका आईपी पता प्राप्त किया है। इससे आपको नकली डीएचसीपी सर्वर का मैक पता प्राप्त करने की अनुमति मिलनी चाहिए, जिसे आप अपने स्विच मैक एड्रेस टेबल में ट्रैक कर सकते हैं ताकि यह पता लगाया जा सके कि कौन सा स्विच पोर्ट कनेक्ट है, फिर उस स्विच पोर्ट को नेटवर्क जैक पर ट्रेस करें और डिवाइस प्लग किया गया है इसे में।


53
2017-08-15 02:51



मैं एक अप्रबंधित स्विच के मैक पते और एआरपी टेबल कैसे देख सकता हूं? - Dai
@ डेई चरण 0: प्रबंधित स्विच खरीदें। मुझे पता है कि हमेशा एक विकल्प नहीं है आमतौर पर आपका नेटवर्क इतना बड़ा है कि वे इसे लायक बना सकें या इतना छोटा हो कि यह हर मशीन पर घूमने और पूछताछ करने के लिए कठिन काम नहीं होगा। - Oli
@ डेई स्विच और मॉडल स्विच क्या है? - Hagen von Eitzen
यदि आपके पास एक अप्रबंधित स्विच है, तो मैक पता अभी भी आपको काम करने के लिए कुछ देता है - आप देख सकते हैं विक्रेता तो आपको पता है कि हार्डवेयर के ब्रांड को किस प्रकार देखना है, और आप इस तरह के टूल का उपयोग कर सकते हैं arping रग को पिंग करने के लिए जब आप स्विच बंदरगाहों को अनप्लग करते हैं तो यह काम करने के लिए कि यह किस पोर्ट से जुड़ा हुआ है। - Michael Kohne
क्या @ ओली ने कहा। यदि आप नहीं करते हैं, इस दिन और उम्र में, पूरी तरह से प्रबंधित स्विच इंफ्रास्ट्रक्चर है, तो आपकी समस्या यह नहीं है कि आपको एक दुष्ट डीएचसीपी सर्वर नहीं मिल रहा है। यह है कि आप नहीं मिल सकते हैं कुछ भी। - MadHatter


मिल गया!! यह मेरा डीसीएस -5030 एल डी-लिंक नेटवर्क कैमरा था! मुझे नहीं पता कि यह क्यों हुआ। इस तरह मैंने इसे पाया।

  1. मैंने अपना लैपटॉप आईपी पता 10.255.255.150/255.255.255.0/10.255.255.1 और DNS सर्वर 8.8.8.8 में बदल दिया ताकि यह दुष्ट डीएचसीपी क्या खत्म हो रहा था।
  2. मैंने एआरपी टेबल को पॉप्युलेट करने के लिए एक ipconfig / सब किया था।
  3. तालिका में आईपी की सूची प्राप्त करने के लिए एक arp -a था और 10.255.255.1 के लिए मैक पता था जो दुष्ट डीएचसीपी सर्वर का प्रवेश द्वार है!
  4. मैंने फिर Nirsoft.net से वायरलेस नेटवर्क वॉचर का उपयोग किया ताकि मुझे मिले मैक पते से डिवाइस का वास्तविक आईपी पता मिल सके। दुष्ट डीएचसीपी का वास्तविक आईपी 1 9 2.168.0.153 था, जिसे कैमरे द्वारा गतिशील रूप से उठाया गया था।
  5. फिर मैंने कैमरा वेब पेज पर लॉग इन किया और देखा कि यह पहले 1 9 2.168.0.20 पर सेट किया गया था जो रूज डीएचसीपी सर्वर का आईपी पता था।
  6. फिर मैंने इसे एक स्थिर आईपी पर स्विच किया और इसे 1 9 2.160.0.20 के रूप में रखा।

अब मैं अपने जीवन के साथ मिल सकता है !! समर्थन के लिए सभी को धन्यवाद।


37
2017-08-15 17:54



यदि आपका नेटवर्क कैमरा एक डीएचसीपी सर्वर चला रहा था तो मुझे संदेह है कि इसे मैलवेयर से समझौता किया गया है। कोई कैमरा उद्देश्य पर डीएचसीपी चलाएगा। मैंने इसे डी-लिंक प्रलेखन पर देखा और इसमें सर्वर चलाने की क्षमता है लेकिन अगर मैं इसे उद्देश्य से कॉन्फ़िगर किया गया तो मुझे आश्चर्य होगा। मैलवेयर के लिए इसे जांचें, इस तरह से कई कैमरों को अपहरण कर लिया गया है। - Zan Lynx
क्यों दुनिया में एक नेटवर्क कैमरा एक डीएचसीपी सर्वर होगा ??? - RonJohn
@RonJohn ताकि आप एक स्टैंडअलोन नेटवर्क पर अपने कॉन्फ़िगरेशन वेबपृष्ठ तक पहुंच सकें जिसमें उसके पास डीएचसीपी सर्वर नहीं है। मैं मानता हूं कि यह एक डिवाइस के लिए बेवकूफ है जैसे कि एक डीएचसीपी सर्वर है, लेकिन यही कारण है कि वे ऐसा करते हैं। - Moshe Katz
@ZanLynx कोई कैमरा उद्देश्य पर डीएचसीपी चलाएगा ... आपने बहुत से सॉफ्टवेयर इंजीनियरिंग प्रबंधकों से मुलाकात नहीं की है;) - txtechhelp
एस में IoT सुरक्षा के लिए खड़ा है। - Patrick M


एक बाइनरी खोज करो।

  1. आधे केबल्स डिस्कनेक्ट करें
  2. '/ Ipconfig रिलीज' परीक्षण का प्रयोग करना अगर यह अभी भी है
  3. यदि ऐसा है, तो शेष के दूसरे आधा और गेटो 2 डिस्कनेक्ट करें
  4. यदि नहीं, तो पहले डिस्कनेक्ट किए गए पहले आधा भाग के आधे को दोबारा कनेक्ट करें, दूसरी छमाही और गोटो 2 डिस्कनेक्ट करें

यह नेटवर्क को प्रत्येक क्रमिक परीक्षण में विभाजित करेगा, इसलिए यदि आपके पास 1,000 मशीनें हैं तो यह आपको डीएचसीपी सर्वर पर चलने वाले व्यक्तिगत पोर्ट को खोजने के लिए 10 परीक्षण तक ले सकती है।

आप उपकरणों को प्लगिंग और अनप्लग करने में काफी समय व्यतीत करेंगे, लेकिन यह इसे बहुत सारे अतिरिक्त टूल और तकनीकों के बिना डीएचसीपी सर्वर तक सीमित कर देगा, इसलिए यह किसी भी पर्यावरण में काम करेगा।


18
2017-08-15 16:33



अप्रबंधित स्विच अनप्लग खोज करने का एक बेहतर तरीका। +1 - Todd Wilcox
मैं मशीनों की बजाए खुद स्विच के बाद जाऊंगा। यह इसे आसानी से एक स्विच में संकीर्ण कर देगा। - Loren Pechtel
@LorenPechtel हां, यदि आपके पास एकाधिक स्विच हैं तो बाइनरी एल्गोरिदम को केवल आधे नेटवर्क को डिस्कनेक्ट करने के लिए एक या दो केबलों को डिस्कनेक्ट करने की आवश्यकता हो सकती है। - Adam Davis


आप बस कर सकते थे:

  • नेटवर्क और साझाकरण केंद्र खोलें (या तो नेटवर्क ट्रे आइकन पर प्रारंभ या दाएं क्लिक करें), नीले कनेक्शन लिंक -> विवरण पर क्लिक करें।
  • ipv4 dhcp पता ढूंढें (इस उदाहरण में यह 10.10.10.10 है)
  • स्टार्ट मेनू से ओपन कमांड प्रॉम्प्ट।
  • पिंग कि आईपी उदाहरण के लिए ping 10.10.10.10, यह कंप्यूटर को डीएचसीपी सर्वर के मैक पते को देखता है और इसे एआरपी तालिका में जोड़ता है, इस बात से अवगत रहें कि अगर फ़ायरवॉल अवरुद्ध हो रहा है तो पिंग विफल हो सकती है, यह ठीक है और इससे कोई समस्या नहीं होगी।
  • करना arp -a| findstr 10.10.10.10। यह मैक पते के लिए arp तालिका से पूछताछ करता है।

आप कुछ ऐसा देखेंगे:

10.10.10.10       00-07-32-21-c7-5f     dynamic

मध्य प्रविष्टि मैक पता है।

फिर इसे जॉकवर्टी के जवाब के अनुसार मैक / पोर्ट टेबल स्विच में देखें, अगर आपको इसके साथ सहायता की आवश्यकता है तो वापस पोस्ट करें।

Wireshark स्थापित करने की कोई ज़रूरत नहीं है।


17
2017-08-15 04:05



ओपी ने कहा कि वह डीएचसीपी सर्वर आईपी एड्रेस पिंग करने में सक्षम नहीं था और एमएसी एड्रेस टेबल में एमएसी एड्रेस नहीं ढूंढ पाया, इसलिए मैंने अपना जवाब पोस्ट किया। उसे आपके सुझाव के साथ कोई सफलता हो सकती है या नहीं, लेकिन आपका बहुत आसान, अधिक सरल दृष्टिकोण है। - joeqwerty