您可以使用 nmap 脚本来定位将发送 DHCPOFFER 的服务器（只要它在您的广播域中）：

nmap --script broadcast-dhcp-discover 

这将提供 DNS 域名、您的 IP、谁提供它、租赁信息……所有有趣的东西。

您还可以包含与端口 67 有任何关系的主机列表：

nmap --script broadcast-dhcp-discover -p67 [your network CIDR]

这个问题的答案在很大程度上取决于您网络上的管理软件有多好。

假设这是合理的，我会说这将通过查看来自恶意服务器的数据包的 MAC 地址来完成，然后查看交换机的管理接口以查看该 MAC 地址连接到哪个端口。然后从端口跟踪到物理端口，看看连接了什么......

如果您无法从 MAC 地址进行映射 --> 交换机端口 --> 物理端口，这可能有点棘手，尤其是在不想找到运行服务器的人的情况下。

您可以使用 nmap (nmap -sP -v -n -oA ping_sweep [your network here]) 对您的网络进行快速 ping 扫描，它会为您提供 IP 地址到 MAC 地址的映射，然后（假设您的恶意软件已开启那里）你可以端口扫描IP地址，看看它是否告诉你任何关于它的信息（例如来自SMB端口的机器名称）......

刚刚通过经典的反复试验方法在我家局域网上找到了流氓 dhcp 服务器。查看网络属性，我发现一些 dhcp 客户端的 IP 地址位于恶意 192.168.1.x 范围内，而不是我在 dhcp 服务器中配置的 192.168.3.x 范围内。

首先，我怀疑一台托管一些虚拟机的开发电脑；配置很复杂，谁知道其中一个虚拟机中可能有一些 dhcp 服务器。只需拉下网线，看看那个 dhcp 客户端现在是否获得了有效的 IP 地址。没有改善，太糟糕了。

现在我怀疑是“智能”电视，它是三星，而且这个品牌以监视观众而闻名。拉了它的网线。不过，没有运气。

然后，环顾四周后，我想到了几个月前从朋友那里买来的带有 4 个以太网端口的老式 adsl 调制解调器，用于更换损坏的以太网交换机。拉出 12 伏适配器电缆。答对了！问题 dhcp 客户端现在获得了一个有效的 IP 地址！我也意识到我们家的dhcp问题是前一阵子开始的。

同意，我不够聪明，无法使用 nmap 和/或 wiresnark 之类的工具。但是夏洛克·福尔摩斯在演绎和归纳方面没有成功吗？

附言

使用拉直的回形针，我对旧的 adsl 调制解调器进行了出厂重置，以使默认的 linksys 密码正常工作，并禁用了其上的 dhcp 服务器。

您可以使用wireshark 监听dhcp 对请求的回复，然后转到交换机的arp 表以查找地址和位置。您可以使用大多数可配置的开关来做到这一点。