Мы уже довольно давно боремся с мошенническим DHCP-сервером.
Пользователи должны находиться в сети 192.168.10.xx с .14 в качестве DNS и .254 в качестве шлюза, но это установит пользователей в подсети 192.168.30.xx с DNS и шлюзом как xx30.1. .
Наш сайт состоит из Windows Server 2012, на двух виртуальных машинах также работает Server 2012 (Exchange Server и Terminal Server).
Наш основной маршрутизатор Draytek (x.x.10.254) подключается к Ethernet-коммутатору WAN и радио-модему Ethernet, предоставленному провайдером. Он указывает пользователям на предварительно настроенный сервер Windows DNS / DHCP .14.
Затем Netgear R7000 используется как точка беспроводного доступа. DHCP отключен и указывает пользователям на x.x.10.14. Это обеспечивает дополнительное покрытие WiFi для заводских ноутбуков.
Сначала я подозревал, что это R7000, но после установки кастомной прошивки проблема не исчезла.
Проблема может случиться как с пользователями, подключенными к проводной сети Ethernet, так и с обоими Wi-Fi.
Проведя сканирование сети, я вижу, что x.x.30.1 имеет MAC-адрес 00-ac-a8-72-ed-2e. Но это, похоже, не помогает мне его найти. Поскольку он не принадлежит ни одному из известных производителей.
Заранее спасибо, и я надеюсь, что этой информации достаточно.
РЕДАКТИРОВАТЬ: Я нашел ответ!
Оказывается, была старая служба VPN (SoftEther), в которой была включена служба DHCP для входящих подключений. Не уверен, как, но он, должно быть, перепутался и обрабатывал половину ПК в сети
Разрешение доступа к мошенническим / неконтролируемым DHCP-серверам в вашей сети - серьезная проблема безопасности. DHCP-сервер может легко пропустить весь трафик через сервер злоумышленника, сканировать и манипулировать им по своему желанию.
Вам нужны управляемые коммутаторы. С помощью MAC-адреса DHCP-сервера вы можете отследить этот адрес до порта коммутатора и следовать по кабелю.
Кроме того, вам понадобится Отслеживание DHCP на ваших переключателях. Отслеживание DHCP настраивается с помощью DHCP-сервера (ов) и портов, которые вы действительно используете, и блокирует все остальные.
Более того, вам нужна сетевая политика, которая определяет, кому разрешено настраивать или авторизовывать сетевое оборудование и услуги. Все пользователи и другие люди, имеющие доступ к вашей сети, должны подчиняться этой политике.