大概有神人暗助，今天下班前解決囉，回來分享一下：
原本只是要看router的log有無異常，熊熊想要瞧瞧防火牆的設定，
看到DoS攻擊沒啟動，就給他打開，再回去看log，沒想到立刻出現：
kernel: [DOS] Block Src IP:[192.168.68.51] from LAN
明明內網是192.168.0.xyz，竟然出現192.168.68.xyz，
剛好有mirror port的switch已到手，灌好Wireshark後就逐一踹router下一階switch各port，
最後順利逮到內網掛了一台TP-LINK DECO mesh，IP是192.168.68.1。

兇手雖然幹掉了，但留下的問號還是不懂：
DECO的兩個Ethernet port沒分WAN or LAN，不知那位天兵是怎麼設定DECO的。
DECO掛在router的LAN下，IP又是不同網段，症狀竟然是DOS攻擊。
內網有伺服器跟NAS，大家都沒事，就只有事務機被打趴。