Serveur DHCP Rogue impossible à trouver

Sur l'un des clients Windows affectés, lancez une capture de paquets (Wireshark, Microsoft Network Monitor, Microsoft Message Analyzer, etc.), puis à partir d'une invite de commande élevée, exécutez ipconfig /release. Le client DHCP enverra un message DHCPRELEASE au serveur DHCP à partir duquel il a obtenu son adresse IP. Cela devrait vous permettre d'obtenir l'adresse MAC du serveur DHCP clandestin, que vous pourrez ensuite retrouver dans la table d'adresses MAC de votre commutateur pour savoir à quel port du commutateur il est connecté, puis suivre ce port du commutateur jusqu'à la prise réseau et au dispositif branché dessus.

Je l'ai trouvé!! C'était ma caméra réseau D-Link DCS-5030L! Je n'ai AUCUNE idée de pourquoi cela est arrivé. Voici comment je l'ai trouvé.

1. J'ai changé l'adresse IP de mon ordinateur portable en 10.255.255.150/255.255.255.0/10.255.255.1 et le serveur DNS en 8.8.8.8 pour être dans la plage de ce que le rogue dhcp distribuait.
2. J'ai ensuite fait un ipconfig /all pour peupler la table ARP.
3. J'ai fait un arp -a pour obtenir une liste des IP dans la table et il y avait l'adresse MAC pour 10.255.255.1 qui est la passerelle du serveur DHCP rogue!
4. J'ai ensuite utilisé Wireless Network Watcher de Nirsoft.net pour trouver l'adresse IP RÉELLE de l'appareil à partir de l'adresse MAC que j'ai trouvée. L'IP réel du Rogue DHCP était 192.168.0.153, qui a été dynamiquement attribué par la caméra.
5. Ensuite, je me suis connecté à la page web de la caméra et j'ai vu qu'elle était précédemment réglée sur 192.168.0.20 qui était l'adresse IP du serveur DHCP rogue.
6. Ensuite, je l'ai changée en IP statique et je l'ai gardée comme 192.160.0.20.

Maintenant je peux continuer ma vie!! Merci à tous pour le support.

Faites une recherche binaire.

1. Déconnectez la moitié des câbles
2. Utilisez '/ipconfig release' pour tester s'il est toujours là
3. Si c'est le cas, déconnectez une autre moitié des câbles restants et retournez à l'étape 2
4. Si ce n'est pas le cas, reconnectez la moitié des câbles précédemment déconnectés, déconnectez la deuxième moitié et retournez à l'étape 2

Cela divisera le réseau en deux à chaque test successif, donc si vous avez 1 000 machines, il peut vous falloir jusqu'à 10 tests pour trouver le port individuel sur lequel le serveur DHCP est en cours d'exécution.

Vous passerez beaucoup de temps à brancher et débrancher des appareils, mais cela permettra de réduire la recherche au serveur DHCP sans beaucoup d'outils et de techniques supplémentaires, donc cela fonctionnera dans n'importe quel environnement.

Vous pourriez simplement:

• Ouvrir le centre réseau et partage (soit à partir du menu Démarrer soit en cliquant avec le bouton droit sur l'icône de la zone de notification du réseau), cliquer sur le lien de connexion bleu -> détails.
• Trouver l'adresse DHCP IPv4 (dans cet exemple, c'est 10.10.10.10)
• Ouvrir l'invite de commandes à partir du menu Démarrer.
• ping cette adresse IP par exemple ping 10.10.10.10, cela force l'ordinateur à rechercher l'adresse MAC du serveur DHCP et à l'ajouter à la table ARP, sachez que le ping peut échouer s'il y a un pare-feu qui le bloque, c'est normal et ne causera pas de problèmes.
• faire arp -a| findstr 10.10.10.10. Cela interroge la table ARP pour trouver l'adresse MAC.

Vous verrez quelque chose comme :

10.10.10.10       00-07-32-21-c7-5f     dynamique

L'entrée du milieu est l'adresse MAC.

Ensuite, cherchez-la dans la table MAC/Port des commutateurs selon la réponse de joeqwerty, revenez vers nous si vous avez besoin d'aide à ce sujet.

Vous n'avez pas besoin d'installer Wireshark.