Определите неизвестный IP в нашей сети

14

У меня есть сеть, содержащая 20 клиентов. Я назначен диапазон IP 10.0.0.1для 10.0.0.20них. Когда я делаю сканирование IP, я вижу, что кто-то использует 10.0.0.131в VMware. Как я могу узнать, с каким IP этот мост соединен? т.е. как узнать какая система имеет 2 IP? (т.е. другой IP этой системы)

Обновить:

Мой системный IP в сети 10.0.0.81:

введите описание изображения здесь

Выходные данные IP-сканера показывают, кто-то использует 10.0.0.131в VMware:

введите описание изображения здесь

И результат tracertкоманды ничего не показывает между нами:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>
User1-Sp
источник
1
Является ли переключатель немым или управляемым?
Kinnectus
@ BigChris Я не знаю, что ты имеешь в виду под дампом. Но это не удалось. :)
User1-Sp
1
Тупой сетевой коммутатор - это тот, который не имеет возможности управлять или опрашивать само устройство коммутатора, т. Е. Иметь возможность определить, к какому порту подключен MAC-адрес компьютера, к которому вы пытаетесь найти. У немых коммутаторов нет дополнительного порта «управления».
Kinnectus
2
В противном случае, так как это такая маленькая сеть, вы можете найти ее методом проб и ошибок: отсоединяйте провода по одному, пока не найдете тот, который разрывает ваше соединение с соответствующим адресом.
Гарри Джонстон

Ответы:

13

Я не могу предоставить глобальное решение вашей проблемы, только частичное. Вы можете добавить это к технике переключения , чтобы расширить спектр возможностей.

Если пользователь, на котором запущена виртуальная машина, подключен к вашей локальной сети через Wi-Fi, вы можете идентифицировать его с помощью traceroute. Причина в том, что вы показали нам, что у виртуальной машины есть IP-адрес в сети LAN, поэтому она находится в мостовой конфигурации. По техническим причинам соединения Wi-Fi не могут быть мостовыми, поэтому все гипервизоры используют аккуратный трюк вместо реальной конфигурации моста: они используют proxy_arp , см., Например, эту запись в блоге Bodhi Zazen для объяснения того, как это работает, для KVM и на этой странице для VMWare .

Поскольку вместо виртуальной машины есть компьютер, отвечающий на запросы ARP, traceroute будет идентифицировать узел перед виртуальной машиной. Например, это вывод моего traceroute с другого компьютера в моей локальной сети:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal - хост-машина, FB - гость, я выдаю его с третьего компьютера (asusdb).

В Windows правильная команда

 tracert 10.0.0.131

В Linux вы можете сделать то же самое с очень удобной утилитой mtr :

 mtr 10.0.0.131

Это дополняет, а не заменяет технику переключения. Если ваш traceroute показывает, что между вашим компьютером и виртуальной машиной нет промежуточных переходов, то, по крайней мере, вы будете знать, что можете исключить все устройства локальной сети, подключенные через Wi-Fi, ограничив свой диапазон возможностей и сделав эффективную возможность техники переключения , Если у вас есть управляемый коммутатор или вы хотите отключить кабели коммутатора один за другим.

В качестве альтернативы вы можете подделать техническую проблему и отключить все соединения Ethernet, вынуждая ваших пользователей использовать Wi-Fi, пока ваш преступник не примет приманку.

MariusMatutiae
источник
3
Если виртуальная машина соединена мостом, то между источником и получателем нет переходов по IP . Инструменты tracert и mtr очень хороши для отслеживания путей IP-маршрутизации , но не могут обнаружить мосты и коммутаторы, которые работают на уровне 2.
jcbermu
Ты прав. Пожалуйста, включите объяснение в ваш ответ, чтобы я снова мог вас
высказать
Могу ли я попросить вас проверить раздел обновления в моем вопросе. Я думаю, что ваше решение не работает для меня. Я прав? (Реальные IP-адреса немного отличаются от значений, которые я уже упоминал в вопросе - я изменил 123на реальное значение: 131могу ли я попросить вас также исправить его?)
User1-Sp
3
@MariusMatutiae Если бы программное обеспечение виртуальной машины фактически использовало прокси-ARP, MAC-адрес, как показано на скриншоте, не имел бы OUI VMware.
Даниэль Б
2
Конечно. Это все еще не то, о чем я говорю. Я скажу это очень ясно: MAC-интерфейс VMware OUI виден. Это явно подразумевает, что прокси ARP не используется . VMware использует прокси-ARP только при необходимости: по беспроводным соединениям.
Даниэль Б
10

Я предполагаю, что 20 клиентов подключены к коммутатору :

Каждый коммутатор содержит таблицу всех известных MAC-адресов в таблице, и таблица имеет формат, подобный следующему:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Где Port - это физический порт коммутатора, а Address - это MAC-адрес, обнаруженный в этом порту.

Вы должны проверить на консоли коммутатора порт, который регистрирует более одного MAC-адреса, и теперь вы знаете порт коммутатора, к которому подключен хост виртуальной машины.

Просто чтобы убедиться:

С Windows оборудования, ping 10.0.0.123а затем выдать arp -a.

Убедитесь, что соответствующий MAC-адрес 10.0.0.123совпадает с тем, который вы обнаружили в таблице коммутаторов .

jcbermu
источник
4

Я делал такие вещи иногда в прошлом. Что меня смущает: вы используете свои инструменты в VMware? Итак, я предполагаю, что 10.0.0.0/24 - это ваша физическая сеть, а не виртуальная? Вы также должны знать, что некоторые инструменты могут отображать что-то странное из-за дополнительного сетевого уровня (виртуальная сеть VMware).

Первое, что вы можете сделать для анализа:

  • Пингуйте хост и затем делайте arp -a(может быть немного неправильно, я использую Linux). Найдите MAC-адрес и воспользуйтесь онлайн-сервисом, таким как http://aruljohn.com/mac.pl, чтобы найти первые 3 пары адресов. Вы увидите производителя устройства.

  • В списке arp вы также можете проверить, используется ли один и тот же MAC-адрес двумя разными IP-адресами. Это будет означать, что устройство имеет два из них.

  • Также время пинга интересно. Сравните это с известными компьютерами и, возможно, принтером в вашей сети. ПК обычно отвечают быстрее, чем принтеры интернет-маршрутизаторов. К сожалению, точность времени Windows не очень хороша.

  • И последнее, но не менее важное, я рекомендую запускать nmap -A 10.0.0.131или nmap -A 10.0.0.0/24показывать больше информации о конкретном хосте или всей сети. (Спасибо Пабуку)

Даниэль Алдер
источник
1
Из трех ответов это лучший из того, что можно сделать непосредственно с любого компьютера в сегменте L2. Кроме того, я бы запустил расширенное сканирование действительно :), чтобы получить дополнительную информацию о компьютерах - например, с помощью nmap : nmap -A 10.0.0.131или nmap -A 10.0.0.0/24. Таким образом, вы можете узнать, например, ОС, имя компьютера, запущенные службы, их версии и т. Д. --- Это может быть очень полезно, если вы не найдете два IP-адреса с одинаковым MAC-адресом.
Пабук
Пропинг хоста, затем выполнение arp -a вернет MAC-адрес виртуальной машины, который мы уже знаем, поиск первых 3 октетов возвращает производителя VMWare, который мы уже знаем. Сравнение времени пинга ничего не дает, так как это зависит от трафика и физической близости. Иногда может быть хорошей идеей попробовать собственный ответ, прежде чем представить его широкой аудитории.
MariusMatutiae
@MariusMatutiae Я явно написал, что я предполагаю, что ваш хост находится в сети. Я не настроил VMware VM только для того, чтобы потом ее найти. В вашем случае вы ищете виртуальную машину на своем собственном хосте. Это не должно быть слишком сложно найти ;-)
Даниэль Олдер
@MariusMatutiae Просто дополнительно: попробуйте запустить pingи arp -aна хосте вместо виртуальной машины и скажите мне, если вы видите разницу. Вы видите причину этого в первом абзаце моего ответа.
Даниэль Олдер
2

Найти неизвестную машину в неуправляемой сети сложно. Мне было поручено несколько раз, и в порядке предпочтения, вот как я с ними справляюсь:

  1. Попытайтесь просмотреть сервер (если вы беспокоитесь о безопасности, если это своего рода приманка, сделайте это с одноразовой виртуальной машины). Вы никогда не знаете - просмотр этой машины в веб-браузере может очень просто раскрыть имя компьютера или его назначение. Если у него есть самозаверяющий сертификат SSL, это часто приводит к утечке внутреннего имени сервера.

    Если на нем не запущен веб-сервис и вы думаете, что это ПК с Windows, попробуйте подключиться к его административным ресурсам (например \\example\c$) - вам может повезти с угадыванием имени администратора. Или, если вы думаете, что это Windows Server (или версия Windows Professional), попробуйте подключиться к нему удаленно.

    Когда вы каким-то образом окажетесь, вы сможете найти информацию о назначении машины и, следовательно, о том, кто, возможно, создал ее и поместил в сеть. Затем выследите их.

    Некоторая часть этой информации (например, имя компьютера и название Windows) уже была обнаружена вашим сканером, так что здесь вам может быть мало что можно узнать.

  2. Посмотрите на таблицу ARP коммутатора. Это даст вам сопоставление между этим MAC-адресом и физическим портом и VLAN. В вашей ситуации это невозможно, поскольку у вас нет управляемого коммутатора.

  3. Сравните MAC-адрес для этого IP-адреса с вашей локальной таблицей ARP. Возможно, там есть дублированный MAC-адрес, который указывает два IP-адреса на одном физическом интерфейсе. Если известен другой IP-адрес, значит, ваш виновник.

  4. Начать пинг до машины. Если он реагирует на пинг, отсоединяйте кабели от коммутатора, один за другим, пока не пропадет эхо-запрос. Тот последний кабель, который вы отключили, ведет к вашему преступнику.

Марк Хендерсон
источник
Этот последний совет, вероятно, является окончательным (и единственным) универсальным решением для неуправляемых сетей.
Даниэль Б
1

Также не полное решение - на самом деле может не быть полного решения вашего вопроса в зависимости от вашей настройки и игнорирования отключающих устройств - но это может помочь.

Если вы получаете MAC-адрес устройства (т. Е. Посмотрите на таблицу arp), первые 3 октета адреса часто могут рассказать вам что-то об адресе - просто вставьте их в поисковик mac, например http://www.coffer.com / mac_find /

Такие программы, как NMAP, обеспечивают обнаружение отпечатков пальцев, что также может помочь в работе с рассматриваемым устройством, посмотрев, как устроен его стек TCP. Опять же, не полностью защищен, но часто может помочь.

Другой способ (при условии, что вы находитесь только в проводной сети) может заключаться в том, чтобы заполнить трафик неподходящим адресом и посмотреть, какой порт на коммутаторе становится баллистическим, а затем проследить кабель. В сети WIFI все намного сложнее (возможно, вы сможете заставить устройство перейти на ложную точку доступа, а затем начать перемещать его и посмотреть, как ведет себя сигнал для триангуляции устройства - но я не пробовал что-то подобное).

davidgo
источник
0

Некоторые из способов подключения принтера к локальной сети дают принтеру IP-адрес вне диапазона, который, вероятно, будет использоваться компьютерами в сети, поэтому вы можете проверить наличие такого принтера.

milesrf
источник
OUI VMware в MAC-адресе, а также имя компьютера и прослушивание IIS ясно указывают на то, что это не принтер.
Даниэль Б
0

У вас всего около 20 клиентов. Вы используете переключатель дампа.

Я прочитал это как «у вас точно один дешевый коммутатор», и все 20 компьютеров подключены к этому единственному устройству. Каждый активный порт на коммутаторе обычно имеет один или несколько светодиодов, указывающих скорость и активность канала .

Последнее дает нам простое решение. Создайте много трафика для вашей виртуальной машины и посмотрите, какой порт загорается. В зависимости от вашей ОС вы можете использовать одну или несколько команд cmd с ping -t 10.0.0.81. На Unix-подобных системах вы можете использовать ping -f 10.0.0.81этот IP-адрес. (Внимание, затопление пинг будет максимальная скорость , которую вы PC может справиться. Это будет замедляться всей сети в то время как она работает. Это также сделает светодиод гореть permanentnly.

Hennes
источник