码迷,mamicode.com
首页 > 其他好文 > 详细

局域网内用户私自接无线AP

时间:2015-04-01 20:24:16      阅读:256      评论:0      收藏:0      [点我收藏+]

标签:无线路由器 mac地址 dhcp

早晨坐到办公室位置上,发现一用户电脑连接了一个非IT管控的SSID,且此SSID在其他电脑上是看不到,于是怀疑是否有人私自在自己的位置上接了无线路由器,且还是专业人士,将SSID做了隐藏,非他们内部都不知道这个情况。

既然发现了,那作为IT就得尽自己的职责,去查查。首先我看了此电脑IP为192.168.1.x,与我们内网网段10.x.x.x完全不相干,肯定是做了NAT后的结果。于是将此问题反映给同事,实话说有一段时间没处理过此类问题了,出现了一点无头绪的症状,但关键时刻我们可不能慌,于是乎我们开始动手了,首先记录此无线的型号及mac地址,型号:TL-845N,初步判断为一个soho型的TP-LINK路由器,在IE输入192.168.1.1完全可以跳出登陆界面,只是输入默认admin的账号和密码是无法验证通过的,于是更加认定此人还将无线的管理密码给改掉了,这一步没法继续,我们只得进行下一步探索了。

这次我们从DHCP服务器下手,在DHCP上我们去发现此路由器,好在我们的switch端口有做端口安全且计算机命名都是按规则来进行的,这样可减小了工作量,通过对比DHCP条目里的表我们发现了此路由器的名字出现在了DHCP列表中,且mac地址只与首先记录的mac地址相差最后一位,这样定位就精准了,因为通过在电脑上查看到的192.168.1.1的mac地址是路由器LAN口的,而在DHCP上看到的是WAN口的mac地址,交换机学习到了与它直连的路由器的WAN口的mac地址,所以就差最后一位不同。

最后有了mac地址一切都变了那么顺利了,通过在汇聚上show mac-address table精准定位到WAN口mac地址从而找到对应的交换机端口,这样我们就彻底找到了局域网内的哪个位置放置了路由器,马上行动,抓现场,立马验证了结果,现场用户表示不可理解,因为他将路由器用纸箱子藏起来了。

顺便说下,wireshark工具对于网络抓包有很大帮助,只是当前我还不能熟练运用,有机会还是要系统学习下的。


其实虽然解决了问题,但是我总感觉还是有点绕弯,欢迎51cto的网络高手们能提出更好的建议,便于各位一起学习。

本文出自 “Daniels技术小窝” 博客,请务必保留此出处http://daniel1205.blog.51cto.com/848115/1627285

局域网内用户私自接无线AP

标签:无线路由器 mac地址 dhcp

原文地址:http://daniel1205.blog.51cto.com/848115/1627285

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!