На микротике обнаружена неизвестная активность из подсети 192.168.1.0/24 - с src-адреса 192.168.1.180 (МАС-адрес соответствующего хоста из микротика извлечён).
Такого адреса ни на одной машине в локальной сети (ни в 192.168.0.0/24, ни в 192.168.1.0/24). Не вдаваясь в причины этой уверенности, это можно утверждать совершенно определённо.
Для облегчения поимки а микротике созданы правила:
Код: Выделить всё
/ip firewall mangle add chain=forward action=mark-packet new-packet-mark=.1.180dst passthrough=no src-address=192.168.1.180
/ip firewall filter add chain=forward action=add-dst-to-address-list address-list=.1.180dst packet-mark=.1.180dst
Для отлова злодея был сформирован пакетный файл на одной из Windows-машин в локальной сети - этой машине доступна подсеть 192.168.1.0/24:
Код: Выделить всё
:code1
set ip=192.168.1.180
ping %ip% -n 1
goto code%errorlevel%
:code0
rem ping OK
echo %date% %time% >> %ip%.log
tracert %ip% >> %ip%.log
goto code1
За всё время выполнения этого файла в лог ничего не попало - т.е. хост 192.168.1.180 в локальной сети не появлялся. В тоже время на микротике в списке ".1.180dst" зафиксирован dst-адрес.
Единственный вариант - вторжение извне.
Как можно выявить вредителя?