Визначте невідомий IP в нашій мережі

14

У мене є мережа, яка містить 20 клієнтів. Я призначений діапазон IP 10.0.0.1для 10.0.0.20них. Коли я роблю сканування IP, я бачу когось, що використовує 10.0.0.131VMware. Як я можу дізнатися, з якою IP-адресою пов'язаний цей IP? тобто як я можу дізнатися, яка система має 2 IP? (тобто інший IP цієї системи)

Оновлення:

Мій системний IP в мережі 10.0.0.81:

введіть тут опис зображення

Вихід із IP-сканера показує, хто використовує 10.0.0.131в VMware:

введіть тут опис зображення

І результат tracertкоманди нічого між нами не показує:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

windows-7 networking ip vmware-player

— User1-Sp
джерело

1

Чи вимикач тупий перемикач, чи ним керується?

— Кіннектус

@BigChris Я не знаю, що ви маєте на увазі під дамп. Але це не вдається. :)

— User1-Sp

1

Тупий мережевий комутатор - це той, який не має для вас можливості керувати або допитувати сам комутаційний пристрій - тобто бути в змозі знайти, до якого порту підключений MAC-адресу машини, до якої ви намагаєтесь знайти. Тупі перемикачі не мають додаткового порту "управління".

— Kinnectus

2

Якщо все інше не вдається, оскільки це така невелика мережа, ви можете знайти її методом проб і помилок: витягніть дроти по одному, поки не знайдете той, що перерізає ваше з'єднання з вказаною адресою.

— Гаррі Джонстон

13

Я не можу надати глобального рішення вашої проблеми, а лише часткового. Ви можете додати це до техніки перемикання , щоб розширити свій спектр можливостей.

Якщо користувач, що управляє VM, підключений до вашої локальної мережі через wifi, то ви можете ідентифікувати його / її за допомогою трассеру. Причина полягає в тому, що ви показали нам, що VM має IP у вашій локальній мережі, отже, він знаходиться в мостовій конфігурації. З технічних причин підключення Wi-Fi неможливо з’єднати, отже, всі гіпервізори використовують акуратний трюк замість реальної конфігурації мосту: вони використовують proxy_arp , див., Наприклад, цей запис у блозі Бодді Зазена для пояснення того, як це працює, для KVM, і цю сторінку для VMWare .

Оскільки замість ПК на ПК відповідає відповідь на запити ARP, traceroute ідентифікує вузол перед VM. Наприклад, це вихід моєї traceroute з іншого ПК у моїй локальній мережі:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan

rasal - хост-машина, FB - гість, я видаю це з третього ПК (asusdb).

У Windows належна команда

 tracert 10.0.0.131

У Linux ви можете зробити те ж саме з дуже зручною утилітою mtr :

 mtr 10.0.0.131

Це доповнює техніку комутації, а не замінює її. Якщо ваш traceroute показує, що між ПК і VM немає проміжних стрибків, то ви, принаймні, знаєте, що ви можете виключити всі комп’ютери локальної мережі, підключені через wifi, обмежуючи свій спектр можливостей і роблячи техніку комутації ефективною можливістю, якщо у вас керований вимикач або ви готові від'єднати кабелі в комутаторі один за одним.

Крім того, ви можете підробити технічну проблему і відключити всі з'єднання Ethernet, змусивши своїх користувачів використовувати Wi-Fi, поки ваш винуватець не захопить приманку.

— MariusMatutiae
джерело

3

Якщо VM з'єднаний, між джерелом та пунктом призначення немає переходів IP . Інструменти tracert і mtr дуже хороші для простеження маршрутів маршрутизації IP , але не в змозі виявити мости та комутатори, які працюють на рівні 2.

— jcbermu

Ти маєш рацію. Будь ласка, включіть пояснення до своєї відповіді, щоб я могла вас знову

— підтримати

Чи можу я попросити вас переглянути розділ оновлення в моєму запитанні. Я думаю, що ваше рішення не спрацювало для мене. Я правий? (Реальні цифри IP дещо відрізняються від значень, про які я вже згадував у запитанні. Я змінив 123реальне значення 131. Чи можу я вас поправити?)

— User1-Sp

3

@MariusMatutiae Якщо програмне забезпечення VM фактично використовувало проксі-сервер ARP, MAC-адреса, як показано на скріншоті, не мала б VMware OUI.

— Даніель Б

2

Звичайно. Це все ще не те, про що я говорю. Скажу це дуже чітко: Видно VMware OUI MAC. Це явно означає, що проксі ARP не використовується . VMware використовує проксі-сервер ARP лише в разі необхідності: На бездротових з'єднаннях.

— Даніель Б

10

Я припускаю, що 20 клієнтів підключені до комутатора :

Кожен перемикач підтримує таблицю кожної відомої MAC-адреси на столі, і таблиця у такому форматі:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Де порт - це фізичний порт на комутаторі, а адреса - MAC-адреса, виявлена на порту.

Ви повинні перевірити на консолі комутатора порт, який реєструє більше однієї MAC-адреси, і тепер ви знаєте порт комутатора, до якого підключений хост VM.

Просто для переконання:

З обладнання Windows, ping 10.0.0.123а потім видайте arp -a.

Переконайтеся, що відповідна MAC-адреса 10.0.0.123така, яку ви виявили на таблиці комутаторів .

— jcbermu
джерело

4

Я робив подібні речі іноді в минулому. Що мене бентежить: ви використовуєте свої інструменти у VMware? Тож я припускаю, що 10.0.0.0/24 - це ваша фізична мережа, а не віртуальна? Ви також повинні знати, що деякі інструменти можуть відображати щось дивне через додатковий мережевий рівень (віртуальна мережа vmware).

Перше, що ви можете зробити для аналізу:

Пінг хосту, а потім зробити arp -a(можливо, трохи неправильно, я використовую Linux). Шукайте MAC-адресу та використовуйте онлайн-сервіс, наприклад http://aruljohn.com/mac.pl, щоб знайти перші 3 пари адреси. Ви побачите виробника пристрою.
У списку арп ви також можете перевірити, чи однакова MAC-адреса використовується двома різними IP-адресами. Це означало б, що у пристрою їх два.
Також цікавий час пінг. Порівняйте його з відомими ПК та, можливо, принтером у вашій мережі. ПК зазвичай відповідають швидше, ніж принтери інтернет-роутерів. На жаль, точність часу Windows не дуже хороша.
І останнє, але не менш важливе, я рекомендую запустити nmap -A 10.0.0.131або nmap -A 10.0.0.0/24розкрити більше інформації про конкретний хост або повну мережу. (Thx to pabouk)

— Даніель Олдер
джерело

1

З трьох відповідей це найкращий варіант, що можна зробити безпосередньо з будь-якого комп’ютера на сегменті L2. Додатково я би провів розширений скан справді :), щоб виявити додаткову інформацію про комп'ютери - використовуючи, наприклад, nmap : nmap -A 10.0.0.131або nmap -A 10.0.0.0/24. Таким чином ви можете виявити, наприклад, ОС, ім'я комп'ютера, запущені служби, їх версії тощо. --- Це може бути дуже корисним, якщо ви не знайдете двох IP-адрес з однаковим MAC.

— пабук

Пінгінг хоста, який виконує arp -a, поверне MAC-адресу VM, яку ми вже знаємо; шукаючи перші 3 октети, повертається виробник VMWare, про який ми вже знаємо. Якщо порівнювати пінг-часи, це не дає нічого, оскільки це залежить від трафіку та фізичної близькості. Інколи може бути корисним спробувати власну відповідь, перш ніж представити широкій аудиторії.

— MariusMatutiae

@MariusMatutiae Я прямо писав, що я припускаю, що ваш хост знаходиться в мережі. Я не встановив VMware VM просто для того, щоб знайти його згодом. У вашому випадку ви шукаєте віртуальну машину на своєму власному хості. Це не повинно бути надто складним ;-)

— Даніель Алдер

@MariusMatutiae Просто зайве: спробуйте запустити pingі arp -aна хості замість VM та скажіть, чи бачите ви різницю. Причину цього ви бачите в першому абзаці моєї відповіді.

— Даніель Олдер

2

Відстежити невідому машину в некерованій мережі складно. Мені кілька разів поставили завдання з цим, і в порядку уподобань, ось як я маю справу з ними:

Спроба перегляду сервера (якщо ви стурбовані безпекою, якщо це якась сота, зробіть це з викидного VM). Ніколи не знаєш - перегляд цієї машини у веб-браузері може просто виявити її ім’я ПК або його призначення. Якщо у нього є самопідписаний сертифікат SSL, то це часто також просочує внутрішнє ім'я сервера.

Якщо веб-служба не працює, а ви думаєте, що це ПК з Windows, спробуйте підключитися до її адміністративних спільних ресурсів (наприклад \\example\c$) - можливо, вам пощастить, вгадавши ім’я користувача адміністратора. Або якщо ви думаєте, що це сервер Windows (або видання Windows Professional), тоді спробуйте ввімкнути його на віддаленому столі.

Отримавши якийсь спосіб, ви зможете шукати інформацію про призначення машини, а отже, хто її створив, і розмістити її в мережі в першу чергу. Потім відстежте їх.

Частину цієї інформації (наприклад, ім'я ПК та що це вікно Windows) ваш сканер вже розкрив, тому тут вам може бути не багато чого навчитися.
Подивіться на таблицю ARP комутатора. Це дасть вам відображення між MAC-адресою та фізичним портом та VLAN. Це неможливо у вашій ситуації, оскільки у вас немає керованого перемикача.
Порівняйте MAC-адресу для цієї IP-адреси з вашою локальною таблицею ARP. Можливо, там є дубльована MAC-адреса, яка вказує дві IP-адреси в одному фізичному інтерфейсі. Якщо інша IP-адреса відома, то тут є ваш винуватець.
Почніть пінг до машини. Якщо він відповідає на ping, від'єднайте кабелі від вимикача по черзі, поки пінг не вийде з ладу. Цей останній кабель, який ви від'єднали від мережі, веде до вашого винуватця.

— Марк Хендерсон
джерело

Ця остання порада, мабуть, є найкращим (і єдиним) універсальним рішенням для некерованих мереж.

— Даніель Б

1

Також не повне рішення - дійсно не може бути повного рішення вашого питання залежно від налаштування та ігнорування відключення пристроїв - але це може допомогти.

Якщо ви отримуєте MAC-адресу пристроїв (тобто дивіться таблицю arp), перші 3 октети адреси часто можуть розповісти вам щось про адресу - просто забийте їх у пошуку пошуку mac, наприклад http://www.coffer.com / mac_find /

Такі програми, як NMAP, забезпечують виявлення відбитків пальців, що також може допомогти в розробці відповідного пристрою, дивлячись на спосіб побудови його TCP стека. Знову ж таки, не повний захист, але це часто може допомогти.

Іншим способом (якщо припустити, що ви користуєтеся лише провідною мережею) може бути затоплення невідповідної адреси трафіком і пошук того, який порт на комутаторі йде балістичним - тоді простежте за кабелем. У мережі WIFI все набагато складніше (можливо, ви зможете примусити пристрій до фальшивої точки доступу, потім почніть переміщати його і дивіться, як поводиться сигнал для тріангуляції пристрою - але я не пробував щось подібне).

— Давидго
джерело

0

Деякі з способів підключення принтера до локальної мережі надають принтеру IP-адресу поза межами діапазону, який, ймовірно, буде використовуватися комп'ютерами в мережі, тому ви можете перевірити наявність такого принтера.

— milesrf
джерело

VMware OUI в MAC-адресі, а також ім'я ПК та IIS-прослуховування чітко вказують, що це не принтер.

— Даніель Б

0

У вас всього близько 20 клієнтів. Ви використовуєте дамп-перемикач.

Я читаю це як "у вас точно один дешевий комутатор", і всі 20 ПК підключені до цього одного пристрою. Кожен активний порт на комутаторі зазвичай має один або більше світлодіодів, які вказують на швидкість та активність зв'язку .

Останнє дає нам просте рішення. Створіть велику кількість трафіку для свого віртуального комп'ютера та дивіться, який порт загоряється. Залежно від вашої ОС ви можете використовувати один або кілька cmd підказок ping -t 10.0.0.81. У такій системі, як Unix, ви можете використовувати ping -f 10.0.0.81для затоплення цього IP. (Увага, затоплення пінг буде максимальна швидкість , яку ви PC може впоратися. Це буде сповільнюватися всієї мережі в той час як вона працює. Це також зробить світлодіод горіти permanentnly.

— Геннес
джерело