Uma coisa que parece ser raramente sugerida é inspecionar em um dos clientes que tem um endereço incorreto e olhar de onde veio. Por exemplo, em um cliente Windows, "ipconfig / all" informará imediatamente o endereço do servidor invasor.
Para monitoramento a longo prazo, o plugin check_dhcp para Nagios pode ser configurado para avisar se você tiver muitas respostas ou uma resposta inesperada.
Como a TomTom diz, a maioria dos switches da empresa pode ser protegida para se defender contra várias coisas, incluindo servidores DHCP desonestos.