溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
早晨坐到辦公室位置上,發現一用戶電腦連接了一個非IT管控的SSID,且此SSID在其他電腦上是看不到,于是懷疑是否有人私自在自己的位置上接了無線路由器,且還是專業人士,將SSID做了隱藏,非他們內部都不知道這個情況。
既然發現了,那作為IT就得盡自己的職責,去查查。首先我看了此電腦IP為192.168.1.x,與我們內網網段10.x.x.x完全不相干,肯定是做了NAT后的結果。于是將此問題反映給同事,實話說有一段時間沒處理過此類問題了,出現了一點無頭緒的癥狀,但關鍵時刻我們可不能慌,于是乎我們開始動手了,首先記錄此無線的型號及mac地址,型號:TL-845N,初步判斷為一個soho型的TP-LINK路由器,在IE輸入192.168.1.1完全可以跳出登陸界面,只是輸入默認admin的賬號和密碼是無法驗證通過的,于是更加認定此人還將無線的管理密碼給改掉了,這一步沒法繼續,我們只得進行下一步探索了。
這次我們從DHCP服務器下手,在DHCP上我們去發現此路由器,好在我們的switch端口有做端口安全且計算機命名都是按規則來進行的,這樣可減小了工作量,通過對比DHCP條目里的表我們發現了此路由器的名字出現在了DHCP列表中,且mac地址只與首先記錄的mac地址相差最后一位,這樣定位就精準了,因為通過在電腦上查看到的192.168.1.1的mac地址是路由器LAN口的,而在DHCP上看到的是WAN口的mac地址,交換機學習到了與它直連的路由器的WAN口的mac地址,所以就差最后一位不同。
最后有了mac地址一切都變了那么順利了,通過在匯聚上show mac-address table精準定位到WAN口mac地址從而找到對應的交換機端口,這樣我們就徹底找到了局域網內的哪個位置放置了路由器,馬上行動,抓現場,立馬驗證了結果,現場用戶表示不可理解,因為他將路由器用紙箱子藏起來了。
順便說下,wireshark工具對于網絡抓包有很大幫助,只是當前我還不能熟練運用,有機會還是要系統學習下的。
其實雖然解決了問題,但是我總感覺還是有點繞彎,歡迎51cto的網絡高手們能提出更好的建議,便于各位一起學習。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
