追踪这一点的一种方法是：

1. 从服务器捕获 DHCP 流量
2. 检查源 MAC 地址
3. 在交换机的转发表中查找此 MAC 地址，以识别此服务器连接到的交换机端口

您可能在网络中的其他计算机上有 172.16.40.204 的 ARP 条目。在这种情况下，您可以跳过前两个步骤。

MAC 地址还可以帮助您识别提供这些 DHCP 服务的机器品牌，方法是使用像这样的供应商查找工具。

很可能您的网络上有恶意 DHCP 服务器。可能是某人带来的家庭级路由器，以在其办公室或区域中获得更多网络端口。

您需要在交换机的硬件地址表中查找 MAC 地址，以便找到设备并没收它。

首先要做的是找出正在分发的网关 IP 的 MAC 地址。通过首先从它显示的路由器 ping DHCP 服务器的 IP 地址来做到这一点。然后查询路由器上的ARP表show arp。要么，要么让笔记本电脑从设备获取 DHCP 租约，ping dhcp 服务器的地址，然后arp -an在笔记本电脑上运行以获取 DHCP 服务器的 MAC 地址。

获得 MAC 地址后，您可以搜索交换机上的 MAC 地址表以尝试找到它show mac-address-table。从离路由器最近的交换机开始。arp 表将显示 MAC 地址关联的端口。如果有另一个交换机插入该端口，请进入该交换机并重复该过程，直到您找到与 DHCP 服务器的 MAC 地址相关联的端口，该端口未插入您的网络设备的另一块。

确定端口后，跟踪一些电缆并找出您的恶意设备的物理位置。

然后，您有时会执行一项有趣的任务，即编写文书工作来约束将未经授权的设备插入您的网络的用户。确保您有禁止此类事情 的公司政策。除非该政策允许，否则实际上不要没收设备。您应该能够从网络中删除设备，但没有问题。

请记住，它也可能是带有 WiFi 的新型打印机之一。这可以通过将设备重新配置为不充当 DHCP 服务器来解决。

如果您没有适当的政策，请写一份！然后让你的 C 级主管签字。网络是公司的财产，你是它的看守者。您需要确保您有权保护它。

最后，调查您的网络设备供应商关于 DHCP 侦听的文档。这可以帮助您锁定网络并防止恶意 DHCP 服务器造成任何损害。

PS：到处都是静态IP？！？网络上不能有很多主机。我会看看实现 DHCP 租约而不是静态 IP。这样，您就可以更好地控制插入网络和地址空间的内容。