Попробуйте dhcp-discover
Посылает запрос DHCPINFORM к хосту на порт UDP 67, чтобы получить все локальные параметры конфигурации без выделения нового адреса.
DHCPINFORM - это запрос DHCP, который возвращает полезную информацию с DHCP-сервера без выделения IP-адреса. Запрос отправляет список полей, которые он хочет знать (по умолчанию по умолчанию, каждое поле, если включена многословие), и сервер отвечает запрошенными полями. Следует отметить, что сервер не должен возвращать каждое поле, и он не должен возвращать их в том же порядке или вообще выполнять запрос. Linksys WRT54g, например, полностью игнорирует список запрошенных полей и возвращает несколько стандартных. Этот скрипт отображает каждое поле, которое он получает.
Пример
nmap -sU -p 67 --script=dhcp-discover <target>
Выход
Interesting ports on 192.168.1.1:
PORT STATE SERVICE
67/udp open dhcps
| dhcp-discover:
| DHCP Message Type: DHCPACK
| Server Identifier: 192.168.1.1
| IP Address Lease Time: 1 day, 0:00:00
| Subnet Mask: 255.255.255.0
| Router: 192.168.1.1
|_ Domain Name Server: 208.81.7.10, 208.81.7.14
Перебор хостов в подсети, пока не найти сервер DHCP.
Reference