27 votos

Busque rogue DHCP server

Posibles Duplicados:
¿Cómo puedo saber si hay un pícaro servidor DHCP en la Red?

Sé que esto es un grave tiro largo, pero aquí vamos.

En la última semana o así, para los usuarios conectados a un switch en particular en nuestra red (hay cuatro tontos interruptores conectados, y que solo afecta a ALGUNOS, no a todos, los usuarios de un interruptor) están recibiendo direcciones DHCP de un servidor DHCP falsos.

He comprobar físicamente cada cable conectado en el interruptor en cuestión para asegurarse de que ninguno de ellos tiene un router wifi o punto conectado a él. Puedo saber la IP del servidor DHCP, pero no puedo hacer ping, y no tienen una interfaz web.

¿Alguien tiene alguna sugerencia sobre lo que puedo hacer para localizar o apagarlo? Desafortunadamente todos los interruptores son administrados, y como se ha mencionado, no hay ningún dispositivo físico (lo que me pueda encontrar) conectado a nada.

Conseguir que la crítica, porque es atornillar el arranque PXE, de un montón de clientes ligeros.

19voto

Nick Kavadias Puntos 9310

Trate de nmap es el uso de la opción-O para detectar el sistema operativo, puede dar una mejor idea de lo que server es? La ejecución de un puerto estándar de escaneo puede ayudar a averiguar qué es

9voto

Satanicpuppy Puntos 4902

Bueno, siempre se puede intentar hacer ping a la mierda, y comprobar que el blinky luces en los enrutadores. =P

¿Traceroute mostrar nada?

7voto

John Gardeniers Puntos 22554

Sé que esto ya ha sido solucionado pero de otra forma, cuando usted realmente no puede encontrar la máquina (sabiendo que es una VM no le dice lo que host es) es mantener el envío de las solicitudes de DHCP y desenchufe cada cable a su vez hasta que se cierra. A veces sólo tienes que volver a la cruda básicos.

4voto

niXar Puntos 1629

Ejecutar Wireshark para obtener la dirección MAC del servidor. Al menos debería decirle a usted el fabricante (direcciones MAC son el centro asignado y cada fabricante se le asigna un conjunto de direcciones).

0voto

Justin Puntos 2956

El hecho de que usted no puede hacer ping no es un problema.

(Este procedimiento es principalmente para los switches gestionados, en el caso de que su tonto interruptores, no es tan útil, ya que usted no puede inspeccionar la tabla cam... pero de todos modos.)

  1. ejecutar ipconfig /all(o buscar en syslog), nota de la dirección IP en la lista de "Servidor DHCP". Generalmente esta es la misma que la puerta de enlace predeterminada.
  2. intento de hacer ping a esa dirección ip, ignorar el resultado.
  3. ejecutar arp-a. La dirección mac de la lista para el IP es el rogue DHCP server.

Así que, en su caso, usted no puede seguir esto con la localización de la switchport y la inhabilitación, pero que podría tener, al menos, busqué la dirección mac del proveedor y habría comprobado que el vendedor fue algo así como vmware o virtualbox.

Si usted tiene un cuadro de ahí, usted puede instalar https://roguedetect.bountysource.com/ en él, que le notificará si un problema como este se produce en el futuro.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: