Dado um endereço IP, você deve ser capaz de encontrar o endereço MAC do host correspondente.
arp -a
No Windows e no Linux, mostraremos o cache de arp desse host, mapeando os IPs para os endereços MAC. (Observe que isso precisará ser executado em uma máquina que esteja na mesma sub-rede IP da máquina que você está tentando encontrar).
Depois de ter o endereço MAC, faça logon no comutador suspeito de que o host não autorizado está conectado e pesquise na tabela de endereços MAC esse endereço. (A tabela de endereços MAC também é chamada de tabela de ponte ou a tabela CAM).
Por exemplo, em switches baseados no Cisco IOS, o seguinte comando:
show mac-address-table address <MAC address>
Irá mostrar-lhe a porta em que um dado endereço MAC foi visto pela última vez. Se a porta resultante for um link para outro comutador, efetue logon nesse comutador e execute o comando novamente. Repita até você acabar com uma porta do host e você deve ter seu culpado.
Observe que essa abordagem só funcionará se você tiver um comutador gerenciado que permita consultar sua tabela de endereços MAC. Caso contrário, será um caso de eliminação manual; encontre cada porta que você conhece não é a máquina desonesta, até que você tenha uma porta que não possa ser considerada. Boa sorte.