发生地是校园内某办公楼, 有莫名其妙的流量, 已经持续一年多了, 上一年发现了但没搞好, 这次决心弄个明白.
1. 首先截包, 看到那一堆东西. 发现在MAC地址和IP地址两个部分中, 源和目的是相反的, 怀疑是出现恶意攻击.
2. 由于目的MAC是我电脑, 因此查源MAC. 在ARP表中查到有一个192.168.13.1的对应, 浏览器访问后发现这是TPlink的无线路由器.
192.168.13.1 48-0e-ec-26-99-1e dynamic
3. 经过别的TPlink验证, 同一台TP路由器的无线和有线MAC地址相差不多, 最多后两位差一点点, 因此考虑直接使用手机的无线详细日志记录(在开发人员选项中)
4. 肉身寻找信号. 拿着手机游走院楼, 直到发现一个信号和所查mac地址一致, 原来是实验室的
作为工作人员进去排查一下, 发现大聪明
拔线, 解决