是否有可能检测出 LAN 上未经授权的交换机?我所在大学的 IT 部门不允许人们将自己的交换机连接到网络。我想知道是否真的可以检测到它们并绕过检测?
具有桥接网络连接的虚拟机是否会使主机看起来像交换机?如何分析端口的流量以了解下游是否有交换机或它们是否只是虚拟机?如果 MAC 是区分交换机和 VM 的唯一方法,我可以将物理机 MAC(前 3 个八位字节)更改为虚拟机的范围。
答案1
使用托管交换机或 arpwatch 之类的系统,可以监控网络上所有流量的 MAC 地址。然后,您可以强制将一个 MAC 地址路由到托管交换机设备的每个端口。当交换机在网络外使用时,您会注意到,因为有太多(>1)个 MAC 地址路由到给定端口。
虚拟机桥接器仍会这样,因为给定端口上有多个地址,但 NAT 配置中的虚拟机则不会这样,因为所有流量都会通过主机。MAC 地址属性显示的内容并不是真正的问题,而是给定位置的 ARP 表中的地址数量。
您的大学是否使用这样的系统?取决于很多因素。我倾向于猜测他们没有,只是因为这种设置需要时间和精力来实施。不过,他们可能会。如果您的大学使用 RADIUS 身份验证,那么这肯定会成为一个障碍,因为 RADIUS 服务器正在跟踪对象的 MAC 地址,因此会将交换机上的每个对象视为不同的客户端,因此它们都需要单独进行身份验证。
答案2
如果你连接交换机,这意味着你将有多个 mac 地址与网络通信,这可以在思科等企业交换机上锁定
即使你桥接了虚拟机,它也需要另一个 mac 地址,情况也是如此
答案3
我相信 nmap 可以告诉某人连接到网络的是什么以及它是交换机、路由器还是 PC。您可以查看文档以查看是否可以通过欺骗 mac 来欺骗它。