दुष्ट डीएचसीपी सर्वर नहीं मिल सकता है

44

पिछले 3-4 हफ्तों से मैं अपने नेटवर्क पर एक दुष्ट डीएचसीपी सर्वर को खोजने की कोशिश कर रहा हूं लेकिन स्टम्प्ड हो गया है! यह आईपी पते की पेशकश कर रहा है जो मेरे नेटवर्क के साथ काम नहीं करते हैं, इसलिए डायनेमिक एड्रेस की आवश्यकता वाले किसी भी उपकरण को दुष्ट डीएचसीपी से एक मिल रहा है और फिर वह डिवाइस काम करना बंद कर देता है। मुझे इस चीज़ को खोजने और नष्ट करने में मदद की ज़रूरत है! मुझे लगता है कि यह किसी प्रकार का एक ट्रोजन हो सकता है।

मेरा मुख्य राउटर एकमात्र वैध डीएचसीपी सर्वर है और यह 192.168.0.1 है जो 192.160.0.150-199 की एक सीमा प्रदान करता है, और मैंने इसे प्राधिकृत रूप में अपने विज्ञापन में कॉन्फ़िगर किया है। यह ROGUE DHCP 192.168.0.20 से आने और 1055-55.255 की श्रेणी में एक IP पते की पेशकश करने का दावा करता है। * जो कि मेरे नेटवर्क पर EVERYTHING को गड़बड़ कर रहा है जब तक कि मैं इसे एक स्थिर IP पता प्रदान नहीं करता। 192.168.0.20 मेरे नेटवर्क पर मौजूद नहीं है।

मेरा नेटवर्क विंडोज 2008R2, 3 अन्य भौतिक सर्वर (1-2008R2 और 2 2012R2) पर 4 हाइपरवाइजर वीएम, 3 लैपटॉप और एक विंडोज 7 बॉक्स के बारे में एक एकल एडी सर्वर है।

मैं 192.160.0.20 आईपी को पिंग नहीं कर सकता, और मैं इसे एआरपी -ए आउटपुट में नहीं देख सकता, इसलिए मुझे इसका मैक पता नहीं मिल सकता है। मुझे उम्मीद है कि इस पोस्ट को पढ़ने वाला कोई इससे पहले आ गया है।

networking  dhcp-server 
डेव स्टुअर्ट
स्रोत
12
मैं विंडोज़ की तरफ कोई मदद नहीं कर रहा हूँ, लेकिन अगर मैं लिनक्स पर था, तो मैं बस एक क्लाइंट पर tcpdump के साथ एक पैकेट कैप्चर करूँगा क्योंकि यह एक खराब dhcp लीज़ प्राप्त करता है। पैकेट कैप्चर में प्रस्ताव भेजने वाले सिस्टम का मैक पता होना चाहिए। ट्रेस करें कि।
yunix
7
क्या आप सब कुछ अनप्लग कर सकते हैं और चीजों को एक समय में नेटवर्क पर वापस रख सकते हैं?
RS
1
1) आप संभावित रूप से बदमाश सर्वर के मैक को देख सकते हैं (अगर ट्रोजन ने इसे नहीं बदला है), और - यदि आपके पास अपने ग्राहकों के एमएसी से कोई सूची नहीं है - तो आप grepइसे अपने पहले (अभी तक) में ले सकते हैं साफ) डीएचसीपी लॉग। 2) अगर कुछ भी काम नहीं करता है: नेट से मशीनों के आधे भाग को प्लग करें, जांचें कि क्या वह अभी भी यहां है। तो आपको पता चल जाएगा, कि कौन सा आधा आदमी बुरा है। तो पाया आधा में एक ही है, और इतने पर।
user259412
4
क्या राउटर? यह हो सकता है कि राउटर खुद संक्रमित हो।
जे ...
1
आपके पास किस प्रकार का स्विच है? प्रबंधित या अप्रबंधित? ब्रांड? आदर्श? स्विच की क्षमताओं के आधार पर आपके पास समस्या को हल करने के लिए कुछ और संभावनाएं हो सकती हैं।
राफेल लूथिगर

जवाबों:

53

प्रभावित विंडोज क्लाइंट में से एक पर पैकेट कैप्चर (Wireshark, Microsoft नेटवर्क मॉनिटर, Microsoft संदेश विश्लेषक, आदि) शुरू होता है, फिर एक उन्नत कमांड प्रॉम्प्ट से ipconfig / release होता है । डीएचसीपी क्लाइंट DHCPRELEASEडीएचसीपी सर्वर को एक संदेश भेजेगा जिसे उसने प्राप्त किया है वह आईपी एड्रेस है। यह आपको दुष्ट डीएचसीपी सर्वर के मैक पते को प्राप्त करने की अनुमति देनी चाहिए, जिसे आप तब अपने स्विच मैक एड्रेस टेबल में ट्रैक कर सकते हैं ताकि पता लगाया जा सके कि यह किस स्विच पोर्ट से जुड़ा है, फिर उस स्विच पोर्ट को नेटवर्क जैक और डिवाइस प्लग किया गया इसे में।

joeqwerty
स्रोत
1
मैं एक अप्रबंधित स्विच के मैक पते और एआरपी तालिकाओं को कैसे देख सकता हूं?
दाई
25
@ दाई चरण ०: प्रबंधित स्विच खरीदें। मुझे पता है कि यह हमेशा एक विकल्प नहीं होता है, लेकिन आमतौर पर आपका नेटवर्क या तो इतना बड़ा होता है कि वे उन्हें इस लायक बना सकते हैं या इतना छोटा कर सकते हैं कि हर मशीन पर घूमना और पूछताछ करना कठिन काम नहीं होगा।
ओली
1
@ दाई क्या है और मॉडल स्विच है?
हेगन वॉन एटिज़ेन
19
यदि आपके पास एक अप्रबंधित स्विच है, तो मैक एड्रेस अभी भी आपको काम करने के लिए कुछ देता है - आप विक्रेता को देख सकते हैं, ताकि आपको यह पता चल सके कि किस ब्रांड के हार्डवेयर को देखना है, और आप रूज को पिंग करने के लिए आर्पिंग जैसे उपकरण का उपयोग कर सकते हैं आप पोर्ट को अनप्लग कर सकते हैं कि यह किस पोर्ट से जुड़ा है।
माइकल कोहेन
2
@ ओली ने क्या कहा। यदि आप इस दिन और उम्र में नहीं हैं, तो एक पूरी तरह से प्रबंधनीय स्विच इंफ्रास्ट्रक्चर है, आपकी समस्या यह नहीं है कि आप एक दुष्ट एनसीपी सर्वर नहीं पा सकते हैं। यह है कि आप कुछ भी नहीं पा सकते हैं
10
37

मिल गया!! यह मेरा DCS-5030L डी-लिंक नेटवर्क कैमरा था! मुझे नहीं पता कि ऐसा क्यों हुआ। यह है कि मैं इसे कैसे पाया।

  1. मैंने अपना लैपटॉप आईपी एड्रेस बदलकर 10.255.255.150/255.255.255.0/10.255.255.1 और DNS सर्वर 8.8.8.8 कर दिया, ताकि यह पता चल सके कि बदमाश धाकड़ क्या कर रहे थे।
  2. फिर मैंने ARP टेबल को पॉप्युलेट करने के लिए एक ipconfig / all किया।
  3. IP में तालिका की सूची प्राप्त करने के लिए एक arp -a किया और 10.255.255.1 के लिए MAC पता था जो दुष्ट डीएचसीपी सर्वर का प्रवेश द्वार है!
  4. मैंने तब Nirsoft.net से वायरलेस नेटवर्क वॉचर का उपयोग किया था ताकि मैं मैक पते से डिवाइस का वास्तविक आईपी पता पा सकूं। दुष्ट डीएचसीपी का वास्तविक आईपी 192.168.0.153 था, जिसे कैमरा द्वारा गतिशील रूप से उठाया गया था।
  5. मैंने तब कैमरा वेब पेज पर लॉग इन किया और देखा कि यह पहले 192.168.0.20 पर सेट किया गया था जो कि रूज डीएचसीपी सर्वर का आईपी एड्रेस था।
  6. फिर मैंने इसे एक स्टेटिक आईपी में बदल दिया और इसे 192.160.0.20 के रूप में रखा।

अब मैं अपने जीवन के साथ मिल सकता हूँ !! समर्थन के लिए सभी को धन्यवाद।

डेव स्टुअर्ट
स्रोत
25
यदि आपका नेटवर्क कैमरा एक डीएचसीपी सर्वर चला रहा था, तो मुझे संदेह है कि यह मैलवेयर के साथ समझौता किया गया है। कोई भी कैमरा उद्देश्य पर डीएचसीपी नहीं चलाएगा। मैंने इसे डी-लिंक डॉक्यूमेंटेशन पर देखा और इसमें सर्वर को चलाने की क्षमता है, लेकिन अगर मैं इसे इस तरह से कॉन्फ़िगर किया गया तो मुझे बहुत आश्चर्य होगा। मैलवेयर के लिए इसकी जांच करें, कई कैमरों को इस तरह से हाईजैक किया गया है।
ज़ैन लिंक्स
3
क्यों दुनिया में एक नेटवर्क कैमरा एक DHCP सर्वर होगा ???
रॉनजॉन
14
@RonJohn तो आप इसके कॉन्फ़िगरेशन वेबपेज को एक स्टैंडअलोन नेटवर्क पर एक्सेस कर सकते हैं जिसमें अपना स्वयं का डीएचसीपी सर्वर नहीं है। मैं मानता हूं कि यह एक डिवाइस के लिए बेवकूफ है जैसे कि एक डीएचसीपी सर्वर है, लेकिन यही कारण है कि वे ऐसा करते हैं।
मोशे काट्ज़
7
@ZanLynx कोई कैमरा उद्देश्य से डीएचसीपी नहीं चलेगा ... आप बहुत सारे सॉफ्टवेयर इंजीनियरिंग प्रबंधकों से नहीं मिले हैं;)
txtechhelp
3
पैट्रिक एम
18

एक द्विआधारी खोज करते हैं।

  1. आधा केबल डिस्कनेक्ट करें
  2. यदि यह अभी भी है तो '/ ipconfig रिलीज़' परीक्षण का उपयोग करना
  3. यदि ऐसा है, तो शेष आधे और गोटो 2 के एक और आधे को डिस्कनेक्ट करें
  4. यदि नहीं, तो पहले से काटे गए पहले आधे हिस्से को फिर से कनेक्ट करें, दूसरे छमाही और गोटो 2 को डिस्कनेक्ट करें

यह नेटवर्क को दो अलग-अलग क्रमिक परीक्षण में विभाजित करेगा, इसलिए यदि आपके पास 1,000 मशीनें हैं तो आपको DHCP सर्वर पर चल रहे व्यक्तिगत पोर्ट को खोजने के लिए 10 परीक्षण तक लग सकते हैं।

आप उपकरणों को प्लग करने और अनप्लग करने में बहुत समय बिताएंगे, लेकिन यह बहुत अधिक अतिरिक्त टूल और तकनीकों के बिना इसे dhcp सर्वर तक सीमित कर देगा, इसलिए यह किसी भी वातावरण में काम करेगा।

एडम डेविस
स्रोत
3
अनवांटेड स्विच अनप्लग सर्च करने का एक बेहतर तरीका। +1
टोड विलकॉक्स
मैं मशीनों के बजाय स्वयं स्विच के बाद जाऊंगा। यह बहुत आसानी से एक स्विच करने के लिए इसे संकीर्ण करेगा।
लोरेन Pechtel
@LorenPechtel हाँ, यदि आपके पास कई स्विच हैं तो बाइनरी एल्गोरिदम को केवल आधा नेटवर्क डिस्कनेक्ट करने के लिए एक या दो केबल डिस्कनेक्ट करने की आवश्यकता हो सकती है।
एडम डेविस
17

आप बस:

  • नेटवर्क और साझाकरण केंद्र खोलें (या तो प्रारंभ या नेटवर्क ट्रे आइकन पर राइट क्लिक करें), नीले कनेक्शन लिंक -> विवरण पर क्लिक करें।
  • IPv4 dhcp पता लगाएं (इस उदाहरण में यह 10.10.10.10 है)
  • स्टार्ट मेनू से ओपन कमांड प्रॉम्प्ट।
  • पिंग कि आईपी जैसे ping 10.10.10.10, यह कंप्यूटर को dhcp सर्वर के मैक पते को देखने और ARP तालिका में जोड़ने के लिए मजबूर करता है, ध्यान रखें कि पिंग विफल हो सकता है अगर कोई फ़ायरवॉल इसे अवरुद्ध कर रहा है, तो यह ठीक है और मुद्दों का कारण नहीं होगा।
  • करते हैं arp -a| findstr 10.10.10.10। यह मैक पते के लिए arp टेबल पर सवाल उठाता है।

आप कुछ इस तरह देखेंगे:

10.10.10.10       00-07-32-21-c7-5f     dynamic

मध्य प्रविष्टि मैक एड्रेस है।

फिर इसे joeqwerty के उत्तर के अनुसार स्विच मैक / पोर्ट टेबल में देखें, यदि आपको उस सहायता की आवश्यकता हो तो वापस पोस्ट करें।

वायरशार्क स्थापित करने की आवश्यकता नहीं है।

हारून टेट
स्रोत
4
ओपी ने कहा कि वह डीएचसीपी सर्वर आईपी पते को पिंग करने में सक्षम नहीं था और अपने एआरपी तालिका में मैक पते को खोजने में सक्षम नहीं था, यही कारण है कि मैंने अपना जवाब पोस्ट किया। आपके सुझाव से उन्हें कोई सफलता मिल भी सकती है और नहीं भी, लेकिन आपका अब तक एक सरल, अधिक सरल दृष्टिकोण है।
जोकिवटी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.