#原创分享#内网出现了不明DHCP服务器，如何排查？

    一、故障现象

    客户内网使用的DHCP服务器分发的地址是10.***.20.0/22的网段，但最近发现有部分电脑在上网时会获取到192.***.1.1的网段。

    IP信息：

   

   二、排查

   1、尝试登录获取IP地址的网关

   登录界面：

   

    客户确认自己没有申请过电信的宽带，所以尝试从公网获取其登录的账号密码。

    输入测试，竟然可以使用。

    公网找到默认账号密码（登录账号：telecom**；登录密码：***）可以用。

    于是我看到设备的状态：

   

   竟然有公网IP，一开始以为是谁私接的路由器。

   查看设备的MAC址：

   

   MAC地址竟然是00-01-02-03-04-05，最开始在DOS下arp -a看到这个MAC地址时，以为是伪造的，没想到竟然是真的。

   2、查找这个源MAC

   有了不明DHCP服务器的MAC地址，再去查找这台服务器接在哪里就好说了。

   本台PC位于1号楼B栋2层的计算机教室，先从该教室的交换机查起。

   disc mac-add 0001-0203-0405

   

   B栋计算机教室->B栋楼层交换机->B栋汇聚交换机->A栋核心交换机->C栋汇聚交换机->室外弱电机柜。

    在室外机柜的交换机上发现一根上联光纤，将该光纤拔掉，再重装在计算机教室的机器上获取IP，获取到了正确的IP址。

   3、至此，困扰客户半年之久的幽灵DHCP找到了。

   

哈哈，你这是没在交换机上弄DHCP snooping

您好，感谢您参与社区原创分享计划5，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

竟然有公网IP

感谢分享，内网有其他DHCP的情况确实比较麻烦，排查起来也比较慢，这是一次很详细的排查过程