這與病毒無關
看ipconfig /all
可以看到是哪台dhcp server發的ip
有dhcp server的ip
可以查出netbios name與mac address
假設你事前有做對應表
就知道是哪台電腦有跑dhcp service
若表上沒有
那代表有不知名網路設備安裝在lan上
若是非網管的switch就要到處去查

很累

若你是 mis 你功力不是很好喔

那請問您功力比較好，可以教我如果我已經用sniffer監聽他對其他人的封包，抓到的內容都空白，只是他會自動派送IP，搶走我DHCP server的角色，把default gateway 換成他自己，使得user無法連線，我應該怎麼做？我所有的server都查過MAC address，跟我用sniffer上抓到的都沒有一個一樣，現在只剩下幾台新的workstations是還沒比對過MAC而已，這是功力的問題嗎？

而且您也沒提出有什麼解決方案，就丟了一句我功力不好，這個小弟有點不服。現在懷疑病毒偽裝MAC address讓我失了偵察方向而已。如果在這邊發問沒什麼解決方案，就只會被吐一句"妳功力不是很好喔"，那我想我以後也不會在這發問了。謝謝！

您可以講這種話
應該代表您有那個實力可以解決樓主的問題
那就請您解答吧
不然......我覺得您這話挺傷人的
出來道個歉吧
樓主只是來問問題求解答的
並非來尋晦的

我看過了，就是不知什麼原因，那個IP原本是我的Oracle Server的IP，可是突然昨天停止作用，查了一下說IP衝突，導致Oracle主機無法動作，換了IP以後就正常，可是原本的IP就被搶走了，我一個網段只有一台DHCP Server，所以我知道哪台有在run service.至於網路設備的話，user不可能會自己帶AP來公司，因為我一定會知道的。現在問過賣咖啡的朋友，他說只好拔switch，來測試看看了

mac位置不能偽裝
因為dns或wins正解出ip address
ip address經arp table解出mac address
tcp/ip網路才能通達

mac若是錯的
那電腦是要找誰當dhcp ? 找誰去續ip租期 ?
dhcp不只是windows server能做
win98的連線共享也是一種簡易的dhcp + nat
裝個巴掌大的ap或router到lan也可以做dhcp
在一般沒有支援snmp的網路節點環境下
一條線一條線去查是最直接的辦法

監聽...你們是用hub嗎 ?
還是用port mirror ?
不然L2 device之下實在很懷疑能監聽到什麼 ?

搶走ip...就hack它DoS它
把它弄掛
弄掛之後
ip再拿回來

2k (or 2k3)DHCP server上有IP對應MAC的表吧
拿出來比對一下.

上面的方法只剩下網路線沒一條一條查跟hack而已 >.<
IP release table有看過，我們公司買的網卡週期都是00-0E.....
可是那個搶走IP的MAC跑出來的是00-0F週期的..

有點納悶沒新機器進來說,有的話只是把末端迴路(Ethernet &VPN)換成某公司,不在用中華電信而已..