Мы просматриваем трафик брандмауэра в Домене, и некоторые неизвестные IP-адреса продолжают появляться. Просмотр DNS, DHCP, ping и tracert также не дает понимания, поскольку они не связаны с каким-либо конкретным элементом домена (сервером, компьютером или другим способом).
Возможно, что эти IP-адреса указывают на некоторые внешние устройства, такие как модем или принтер, или что они даже используются во внутренней маршрутизации.
Есть ли способ определить, что использует этот IP?
Предположим, вы уже знаете, к какой подсети принадлежат адреса (то есть, если у вас более одной подсети), что можно легко обнаружить, проверив таблицы маршрутизации.
Узнайте MAC-адрес устройства (используйте arp -an , ip neigh , arping ... на ПК в той же подсети) и проверьте его префикс по таблице OUI IEEE. (Существуют различные сайты "OUI lookup".) Хотя результат не всегда тот же, что и у производителя всего устройства, он все же довольно распространен.
Имея тот же MAC-адрес, подключитесь к одному из ваших "управляемых" / "умных" и поищите адрес в его «таблице MAC-адресов» - вы обнаружите порт коммутатора, на котором он был в последний раз замечен. Если этот порт переходит к другому управляемому коммутатору, повторяйте этот процесс до тех пор, пока не будет больше запрашиваемых коммутаторов.
Если у вас все еще остается большая часть сети для поиска (или если в подсети нет управляемых коммутаторов), и вы не боитесь простоя, сократите сеть пополам и проверьте, какая половина все еще может достичь таинственного адрес. Повторите, пока не найдено.
