局域網(wǎng)內(nèi)用戶私自接無線AP

早晨坐到辦公室位置上，發(fā)現(xiàn)一用戶電腦連接了一個非IT管控的SSID，且此SSID在其他電腦上是看不到，于是懷疑是否有人私自在自己的位置上接了無線路由器，且還是專業(yè)人士，將SSID做了隱藏，非他們內(nèi)部都不知道這個情況。

既然發(fā)現(xiàn)了，那作為IT就得盡自己的職責，去查查。首先我看了此電腦IP為192.168.1.x,與我們內(nèi)網(wǎng)網(wǎng)段10.x.x.x完全不相干，肯定是做了NAT后的結(jié)果。于是將此問題反映給同事，實話說有一段時間沒處理過此類問題了，出現(xiàn)了一點無頭緒的癥狀，但關(guān)鍵時刻我們可不能慌，于是乎我們開始動手了，首先記錄此無線的型號及mac地址，型號：TL-845N，初步判斷為一個soho型的TP-LINK路由器，在IE輸入192.168.1.1完全可以跳出登陸界面，只是輸入默認admin的賬號和密碼是無法驗證通過的，于是更加認定此人還將無線的管理密碼給改掉了，這一步?jīng)]法繼續(xù)，我們只得進行下一步探索了。

這次我們從DHCP服務(wù)器下手，在DHCP上我們?nèi)グl(fā)現(xiàn)此路由器，好在我們的switch端口有做端口安全且計算機命名都是按規(guī)則來進行的，這樣可減小了工作量，通過對比DHCP條目里的表我們發(fā)現(xiàn)了此路由器的名字出現(xiàn)在了DHCP列表中，且mac地址只與首先記錄的mac地址相差最后一位，這樣定位就精準了，因為通過在電腦上查看到的192.168.1.1的mac地址是路由器LAN口的，而在DHCP上看到的是WAN口的mac地址，交換機學習到了與它直連的路由器的WAN口的mac地址，所以就差最后一位不同。

最后有了mac地址一切都變了那么順利了，通過在匯聚上show mac-address table精準定位到WAN口mac地址從而找到對應的交換機端口，這樣我們就徹底找到了局域網(wǎng)內(nèi)的哪個位置放置了路由器，馬上行動，抓現(xiàn)場，立馬驗證了結(jié)果，現(xiàn)場用戶表示不可理解，因為他將路由器用紙箱子藏起來了。

順便說下，wireshark工具對于網(wǎng)絡(luò)抓包有很大幫助，只是當前我還不能熟練運用，有機會還是要系統(tǒng)學習下的。

其實雖然解決了問題，但是我總感覺還是有點繞彎，歡迎51cto的網(wǎng)絡(luò)高手們能提出更好的建議，便于各位一起學習。