温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

局域网内用户私自接无线AP

发布时间:2020-06-15 20:07:22 来源:网络 阅读:1134 作者:Daniel1688 栏目:网络安全

早晨坐到办公室位置上,发现一用户电脑连接了一个非IT管控的SSID,且此SSID在其他电脑上是看不到,于是怀疑是否有人私自在自己的位置上接了无线路由器,且还是专业人士,将SSID做了隐藏,非他们内部都不知道这个情况。

既然发现了,那作为IT就得尽自己的职责,去查查。首先我看了此电脑IP为192.168.1.x,与我们内网网段10.x.x.x完全不相干,肯定是做了NAT后的结果。于是将此问题反映给同事,实话说有一段时间没处理过此类问题了,出现了一点无头绪的症状,但关键时刻我们可不能慌,于是乎我们开始动手了,首先记录此无线的型号及mac地址,型号:TL-845N,初步判断为一个soho型的TP-LINK路由器,在IE输入192.168.1.1完全可以跳出登陆界面,只是输入默认admin的账号和密码是无法验证通过的,于是更加认定此人还将无线的管理密码给改掉了,这一步没法继续,我们只得进行下一步探索了。

这次我们从DHCP服务器下手,在DHCP上我们去发现此路由器,好在我们的switch端口有做端口安全且计算机命名都是按规则来进行的,这样可减小了工作量,通过对比DHCP条目里的表我们发现了此路由器的名字出现在了DHCP列表中,且mac地址只与首先记录的mac地址相差最后一位,这样定位就精准了,因为通过在电脑上查看到的192.168.1.1的mac地址是路由器LAN口的,而在DHCP上看到的是WAN口的mac地址,交换机学习到了与它直连的路由器的WAN口的mac地址,所以就差最后一位不同。

最后有了mac地址一切都变了那么顺利了,通过在汇聚上show mac-address table精准定位到WAN口mac地址从而找到对应的交换机端口,这样我们就彻底找到了局域网内的哪个位置放置了路由器,马上行动,抓现场,立马验证了结果,现场用户表示不可理解,因为他将路由器用纸箱子藏起来了。

顺便说下,wireshark工具对于网络抓包有很大帮助,只是当前我还不能熟练运用,有机会还是要系统学习下的。


其实虽然解决了问题,但是我总感觉还是有点绕弯,欢迎51cto的网络高手们能提出更好的建议,便于各位一起学习。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI