我正在寻找一种在易于访问且始终保持最新的中心位置查看网络上的客户端的方法。我知道我可以使用 arp 表或网络扫描,但这不是列出客户端的长期解决方案。我使用了 UniFi 控制器,它提供了已连接客户端的列表,但我的网络中混合了多种设备(并非所有设备都是 UniFi),这使我无法看到所有内容。
虽然如果我想检测恶意用户,我必须扫描网络,这确实是事实。我正在寻找一种简单的网络概览解决方案,类似于这或者我之前提到的UniFi控制器。
是否存在一个通用的(简单、易于访问、移动的)解决方案可以提供当前连接的客户端信息?
答案1
不,没有,而且可能永远不会有一种方法可以跟踪网络上的每个设备,而无需执行主动扫描(至少如果你担心恶意方)。我推荐的扫描仪是 nmap/Zenmap。
被动扫描不会检测未在被动扫描器正在监听的路径上发送流量的设备。如果您有 IDPS 解决方案,并且已配置端到端镜像,或者将分接头连接到镜像端口上的每个交换机,那么这种方法可行,但这需要企业级交换机和其他基础设施。
ARP 仅适用于向您正在检查的设备发送流量或通过您正在检查的设备发送流量的设备。在交换网络上,流量不会发送给非预期方,因此,除非未知设备试图连接到您正在检查的设备,否则它不会出现。
正如您所说,Wifi AP 仅提供有关 Wifi 客户端的信息,而 DHCP 服务器会错过静态分配的 IP。交换机地址表是隔离的,因此您必须询问每个交换机,并且对于不发送流量或攻击交换机(可能是 ARP 洪水)的系统没有任何好处。
当然,这是假设您对检测未经授权的设备感兴趣。如果您只愿意看到没有试图潜入的设备,那么只需制定一条规则,即所有设备都通过 DHCP 获取其地址(使用网络/服务器设备的保留地址)。然后您只需从 DHCP 服务器检查客户端列表即可。您必须将租约时间调整为您认为“在线”的时间间隔。