我处于一个奇怪的情况...客户有一个基于静态 IP 的庞大网络。
所有机器名称均无法用于识别计算机位置,并且网络交换机不受管理。
网络上的一台计算机开始疯狂广播,占用了其 astaro 安全网关 CPU(可能是病毒)。
我已经能够通过在 astaro 上设置规则来减少问题,以删除来自有问题的 IP 的所有请求。
现在我需要找出那台电脑在哪里。
我想如果我能够关闭它的网络服务,用户就会打电话给我寻求帮助,然后我就能找到电脑并发现发生了什么。
我怎样才能获得它?
这听起来像是“我的”网络遭受了 DDoS 攻击,对吗?
我无法访问该电脑,因为每个人都有自己的电脑管理员权限和密码,所以 Dameware 无法运行,没有远程桌面,没有 mmc 管理单元,没有 regedit。
答案1
你已经获得了 MAC 地址,因此假设这些是品牌机器而不是仿制品,你应该能够追踪制造商(http://www.coffer.com/mac_find/),这可能会稍微缩小您的搜索范围(假设您没有全套戴尔或类似产品)。
您可以使用 IP 地址和端口扫描器(例如 nmap)来对主机进行指纹识别,找到它可能正在运行的操作系统,从而进一步缩小范围。
如果主机运行的是 Windows,它会在检测到网络上的 IP 冲突时显示错误 - 我建议故意引起 IP 冲突并使用该方法在可能的候选者的屏幕上标记警报。
答案2
如果交换机有 SNMP,您可能能够通过观察计数器找到 PC。当然不能保证,但值得一试。
如果这不管用,在我看来,你很可能不得不求助于一些老式的追踪方法。这种做法以前是通过拔掉电缆直到找到罪魁祸首来完成的。虽然这听起来可能过于残酷,但这是为如此糟糕的网络付出的代价的一部分。
答案3
如果您拥有可管理的交换机,您就能够追踪所涉及的 MAC 并关闭端口 - 然后只需等待愤怒的用户抱怨网络瘫痪......
特斯加
答案4
如果您拥有非托管交换机,您的选择将非常有限,但您可以随时尝试断开/重新连接您的网段。如果按逻辑操作,您应该能够很快找到机器并将其断开,这将引起其所有者的注意。