早晨坐到办公室位置上,发现一用户电脑连接了一个非IT管控的SSID,且此SSID在其他电脑上是看不到,于是怀疑是否有人私自在自己的位置上接了无线路由器,且还是专业人士,将SSID做了隐藏,非他们内部都不知道这个情况。
既然发现了,那作为IT就得尽自己的职责,去查查。首先我看了此电脑IP为192.168.1.x,与我们内网网段10.x.x.x完全不相干,肯定是做了NAT后的结果。于是将此问题反映给同事,实话说有一段时间没处理过此类问题了,出现了一点无头绪的症状,但关键时刻我们可不能慌,于是乎我们开始动手了,首先记录此无线的型号及mac地址,型号:TL-845N,初步判断为一个soho型的TP-LINK路由器,在IE输入192.168.1.1完全可以跳出登陆界面,只是输入默认admin的账号和密码是无法验证通过的,于是更加认定此人还将无线的管理密码给改掉了,这一步没法继续,我们只得进行下一步探索了。
这次我们从DHCP服务器下手,在DHCP上我们去发现此路由器,好在我们的switch端口有做端口安全且计算机命名都是按规则来进行的,这样可减小了工作量,通过对比DHCP条目里的表我们发现了此路由器的名字出现在了DHCP列表中,且mac地址只与首先记录的mac地址相差最后一位,这样定位就精准了,因为通过在电脑上查看到的192.168.1.1的mac地址是路由器LAN口的,而在DHCP上看到的是WAN口的mac地址,交换机学习到了与它直连的路由器的WAN口的mac地址,所以就差最后一位不同。
最后有了mac地址一切都变了那么顺利了,通过在汇聚上show mac-address table精准定位到WAN口mac地址从而找到对应的交换机端口,这样我们就彻底找到了局域网内的哪个位置放置了路由器,马上行动,抓现场,立马验证了结果,现场用户表示不可理解,因为他将路由器用纸箱子藏起来了。
顺便说下,wireshark工具对于网络抓包有很大帮助,只是当前我还不能熟练运用,有机会还是要系统学习下的。
其实虽然解决了问题,但是我总感觉还是有点绕弯,欢迎51cto的网络高手们能提出更好的建议,便于各位一起学习。