Diberikan alamat IP, Anda harus dapat menemukan alamat MAC dari host yang sesuai.
arp -a
Pada Windows dan Linux akan menunjukkan cache arp dari host itu, memetakan IP ke alamat MAC. (Perhatikan bahwa ini harus dijalankan pada mesin yang berada di subnet IP yang sama dengan mesin yang Anda coba temukan).
Setelah Anda memiliki alamat MAC, masuklah ke sakelar yang Anda duga host jahat itu terhubung, dan cari tabel alamat MAC untuk alamat itu. (Tabel alamat MAC juga disebut tabel bridging, atau tabel CAM).
Misalnya, pada switch berbasis Cisco IOS, perintah berikut:
show mac-address-table address <MAC address>
Akan menunjukkan kepada Anda port yang terakhir dilihat alamat MAC. Jika port yang dihasilkan adalah tautan ke sakelar lain, masuklah ke sakelar itu dan jalankan perintah lagi. Ulangi sampai Anda berakhir dengan port host, dan Anda harus memiliki pelakunya.
Perhatikan bahwa pendekatan ini hanya akan berfungsi jika Anda memiliki sakelar terkelola yang memungkinkan tabel alamat MAC-nya untuk ditanyakan. Jika gagal, itu akan menjadi kasus eliminasi manual; temukan setiap port yang Anda tahu bukan mesin jahat, sampai Anda memiliki satu port yang tidak dapat Anda pertanggungjawabkan. Semoga berhasil.