Найти источник IP в сети

Мы просматриваем трафик брандмауэра в Домене, и некоторые неизвестные IP-адреса продолжают появляться. Просмотр DNS, DHCP, pingа tracertтакже не дает никакой информации, так как они не связаны с каким-либо конкретным элементом домена (сервером, компьютером или другим способом).

Возможно, что эти IP-адреса могут указывать на некоторые внешние устройства, такие как модем или принтер, или что они даже используются во внутренней маршрутизации.

Есть ли способ определить, что использует этот IP?

Предположим, вы уже знаете, к какой подсети принадлежат адреса (если у вас более одной подсети), что можно легко обнаружить, проверив таблицы маршрутизации.

Узнать MAC - адрес устройства (использование arp -an, ip neigh, arping... на ПК в той же подсети), и проверить его префикс против таблицы IEEE в OUI. (Существуют различные веб-сайты «OUI lookup».) Хотя результат не всегда тот же, что и у производителя всего устройства, он все еще довольно распространен.

Имея тот же MAC-адрес, подключитесь к одному из ваших «управляемых» / «умных» и поищите адрес в его «таблице MAC-адресов» - вы обнаружите порт коммутатора, на котором он последний раз был замечен. Если этот порт переходит к другому управляемому коммутатору, повторяйте процесс до тех пор, пока не будет больше запрашиваемых коммутаторов.

Если у вас все еще остается большая часть сети для поиска (или если в подсети нет управляемых коммутаторов), и вы не боитесь простоев, сократите сеть пополам и проверьте, какая половина все еще может достичь таинственного адрес. Повторите, пока не найдено.