Добрый вечер, уважаемые знатоки!
На предприятии сеть организована почти классической звездой, некоторые лучики длиннее других, некоторые закольцованы. На свиче-ядре сделал зеркало всех портов, подключился к физической сетевухой к порту и начал занюхивать WireShark'ом ARP траффик в поисках возможных негодяев. Ушел домой на пару дней, вернулся, отфильтровал лог, убрав все известные MAC и осталось несколько неизвестных, которые подключали на несколько часов. На момент проверки в сети их уже не было.
Внимание вопрос:
Как узнать с какого свича пришел пакет, т.е. к какому свичу злоумышленник подключался. Есть только МАК устройства и МАК dhcp сервера? Может быть не WireShark'ом, а какой-нибудь другой утилитой?
Only4You, в большинстве приличных управляемых свитчей можно посмотреть, какие мак-адреса на каких портах светятся. Берём мак, ищем на каком он порту. Если там дальше свитч - смотрим на каком порту у него этот мак. И так по цепочке находим, в какой свитч он непосредственно воткнут.
Естественно, это можно сделать только когда устройство непосредственно подключено к сети.
Без мониторинга - никак. Таблица мак адресов переодически обновляется, если устройства нет в сети, то маловероятно что коммутатор будет хранить ее МАК.
Стоит развернуть какую-то систему мониторинга, хотя бы Observium.
Так же можно на коммутаторах включить 82 опцию, при запросе DHCP на сервере будет светить порт с которого пришел запрос.
Сложный
