针对您的需求（应对 DNS 欺诈、向特定 IP 发送弹窗消息以快速定位设备），以下是分步骤的解决方案：

一、防范与检测 DNS 欺诈

✅启用加密 DNS（推荐）

通过启用系统内置或第三方加密 DNS 服务，可有效防止中间人攻击和 DNS 劫持：

0. 使用系统内置功能
1. 进入 设置 > 网络和 Internet > 高级网络设置 → 找到当前连接的网络 → 点击属性 → 选择 Internet 协议版本 4 (TCP/IPv4) → 点击“高级” → 勾选 “在 DNS 查询中启用 DNS 加密”2^。
2. 切换至可信公共 DNS 例如修改为 Cloudflare（1.1.1.1 / 1.0.0.1）或 Google Public DNS（8.8.8.8 / 8.8.4.4），这些服务默认支持加密传输1^3^。 ⚠️ 注意：修改后需重启计算机使配置生效。

️ 验证当前 DNS 设置是否正常

• 打开命令提示符（管理员模式），执行以下命令检查解析结果是否被篡改：
• ipconfig /all # 查看当前使用的 DNS 服务器地址
  nslookup example.com # 测试域名解析是否正确（应返回预期 IP）
• 如果怀疑缓存中毒，先刷新缓存：
• ipconfig /flushdns # 清除本地 DNS 缓存

二、向目标 IP（192.168.2.216）发送弹窗消息

Windows 本身不提供直接向局域网内其他设备推送图形化弹窗的功能，但可通过以下替代方案实现类似效果：

⚙️ 方案 1：利用 Messenger Service（信使服务）发送文本通知

此方法依赖目标设备的 Messager 服务是否启用：

0. 执行命令：
1. net send 192.168.2.216 “警告：检测到可疑 DNS 行为！请立即检查网络配置。”
2. 前提条件：
3. 目标设备必须运行 Windows 且未禁用“信使服务”（默认端口 UDP 445）；
4. 防火墙需允许出站 UDP/TCP 通信。
5. 验证接收效果： 若成功，目标用户的桌面右下角会弹出系统级通知气泡；若失败则可能是服务被禁用或防火墙拦截。

方案 2：结合 PowerShell Remoting 强制交互（需权限）

适用于域控环境或已预先建立信任关系的场景：

0. 触发远程执行命令（需知道目标主机名）：
1. Invoke-Command –ComputerName “目标主机名” –ScriptBlock {msg * “紧急安全警报！”}
2. 局限性： 需要管理员凭证且目标开放 WinRM 服务，普通家庭网络难以实现。

方案 3：模拟 ARP 欺骗触发告警（进阶）

通过工具生成短暂的 ARP 冲突迫使目标设备感知异常：

0. 工具示例：使用 Colasoft Capsa、Wireshark 构造伪造的 ARP 响应包；
1. 目的：使目标设备因 IP 冲突主动弹出网络错误提示窗口，间接引起注意。

⚠️ 此方法可能干扰正常通信，仅提议在可控环境下测试！

三、快速定位涉事设备（结合多维度信息交叉验证）

1. 根据已知线索锁定物理位置

2. 网络拓扑可视化辅助排查

• 扫描全网段活跃主机：
• for /L %i in (1,1,254) do @ping -n 1 -w 50 <desiredTTL> 192.168.2.%i | findstr TTL
• 结合 ARP 表确认 IP-MAC 映射关系：
• arp -a | findstr “192.168.2.216”
• 对比历史记录：检查路由器日志中该 IP 的流量特征是否异常。

️ 3. 自动化脚本监控可疑行为

编写批处理文件定期检查关键指标变化：

@echo off
:loop
cls
echo ================= 网络监控 =================
echo 当前时间: %date% %time%
ping -n 1 192.168.2.216 | findstr TTL=      >> log.txt
nbtstat -a 192.168.2.216 >> log.txt
timeout /t 60 /nobreak >nul
goto loop

将输出重定向至日志文件供后续分析。

总结提议

通过上述组合策略，您可以有效应对 DNS 欺诈风险，并在发现异常时快速定位涉事设备。