如何查找我的网络上是否存在恶意 DHCP 服务器？

一种简单的方法是在计算机上简单地运行 tcpdump/wireshark 之类的嗅探器并发送 DHCP 请求。如果您看到除真实 DHCP 服务器之外的任何提议，那么您就知道您遇到了问题。

回顾一下并添加到其他一些答案：

暂时禁用您的生产 DHCP 服务器并查看其他服务器是否响应。

您可以通过ipconfig /all在 Windows 机器上运行来获取服务器的 IP 地址，然后您可以通过使用arp -a.

在 Mac 上，运行ipconfig getpacket en0（或 en1）。请参阅http://www.macosxhints.com/article.php?story=20060124152826491。

DHCP 服务器信息通常在 /var/log/messages 中。sudo grep -i dhcp /var/log/messages*

当然，禁用生产 DHCP 服务器可能不是一个好的选择。

使用专门寻找恶意 DHCP 服务器的工具

请参阅http://en.wikipedia.org/wiki/Rogue_DHCP以获取工具列表（其中许多已在其他响应中列出）。

配置交换机以阻止 DHCP 提供

大多数托管交换机都可以配置为防止恶意 DHCP 服务器：

• http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.html

• http://www.juniper.net/techpubs/en_US/junos9.2/topics/concept/port-security-dhcp-snooping.html

dhcpdump，它采用输入形式tcpdump并仅显示与 DHCP 相关的数据包。帮助我找到了被 rootkited 的 Windows，在我们的 LAN 中伪装成假的 DHCP。

Wireshark / DHCP explorer / DHCP Probe 方法适用于一次性或定期检查。但是，我建议您查看网络上的DHCP Snooping支持。此功能将针对网络上的恶意 DHCP 服务器提供持续保护，并得到许多不同硬件供应商的支持。

这是Cisco 文档中指示的功能集。

• 验证从不受信任的来源收到的 DHCP 消息并过滤掉无效消息。

• 对来自受信任和不受信任来源的 DHCP 流量进行速率限制。

• 构建和维护 DHCP 侦听绑定数据库，其中包含有关具有租用 IP 地址的不受信任主机的信息。

• 利用 DHCP 侦听绑定数据库来验证来自不受信任主机的后续请求。

dhcploc.exe是 Windows 系统上最快、最方便的方法。它在 XP 支持工具中可用。支持工具位于每个 OEM/零售 XP 磁盘上，但可能位于也可能不在某些 OEM 提供的“恢复磁盘”上。您也可以从 MS下载它们。

这是一个简单的命令行工具。您运行dhcploc {yourIPaddress}然后按“d”键进行虚假发现。如果您在不按任何键的情况下让它运行，它将显示每个 DHCP 请求并回答它听到的。按“q”退出。

我建议启动两个终端，一个用于监控，另一个用于发送请求。Terminal1 将显示来自所有现有 DHCP 服务器的响应，包括 MAC 地址。此示例在 Ubuntu 上运行：

Terminal1（用于监控）：

sudo tcpdump -nelt udp port 68 | grep -i "boot.*reply"

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:a6:80:f9:12:2f > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 332: 192.168.1.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 290
00:23:cd:c3:83:8a > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 590: 192.168.1.253.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 548

Terminal2（用于发送请求）：

sudo nmap --script broadcast-dhcp-discover -e eth0

Starting Nmap 7.01 ( https://nmap.org ) at 2019-10-13 21:21 EEST
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.228
|     DHCP Message Type: DHCPOFFER
|     IP Address Lease Time: 2h00m00s
|     Server Identifier: 192.168.1.1
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|_    Domain Name Server: 8.8.8.8, 8.8.4.4
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 0.94 seconds

只需要那个监控终端来查看所有响应（nmap 只能显示第一个响应）。

Scapy 是一个基于 python 的数据包制作工具，非常适合这些排序任务。这里有一个如何做到这一点的例子。

扩展l0c0b0x关于bootp.type == 2用作过滤器的评论。bootp.type 过滤器仅在 Wireshark/tshark 中可用。它在 tcpdump 中不可用，他的评论的上下文位置让我相信。

Tshark 非常适合这个。

我们将我们的网络划分为许多广播域，每个广播域都有自己的基于 Linux 的探针，在“本地”广播域和管理子网上以一种或另一种方式存在一个点。Tshark 与ClusterSSH相结合使我可以轻松地在网络的更远角落查找 DHCP 流量或（与此相关的任何其他内容）。

这将使用 Linux 找到 DHCP 回复：

# ifconfig ethX promisc
# tshark -i ethX -n port 68 -R 'bootp.type == 2'

一旦你确定网络上有一个流氓 dhcp 服务器，我发现解决它的最快方法是......

向整个公司发送一封电子邮件，说：

“你们中的哪一个在局域网中添加了无线路由器，你已经为其他人扼杀了互联网”

期待一个羞怯的反应，或者冲突的装置很快消失:)

禁用主 DHCP 服务器并（重新）配置连接。

如果你得到一个IP地址，你就有一个流氓。

如果您手头有 Linux，标准的 dhcpclient 会告诉您 DHCP 服务器的 IP 地址（否则您可以嗅探流量以查看 DHCP 响应的来源）。