題 識別我們網絡中的未知IP


我有一個包含20個客戶端的網絡。我分配了IP範圍 10.0.0.1 至 10.0.0.20 給他們。當我進行IP掃描時,我看到有人在使用 10.0.0.131 在VMware中。如何找出此IP橋接的IP?即如何找出哪個系統有2個IP? (即該系統的其他IP)

更新:

我在網絡中的系統IP是 10.0.0.81

enter image description here

IP掃描儀的輸出顯示有人使用 10.0.0.131 在VMware中:

enter image description here

結果 tracert 命令在我們之間沒有顯示:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

14
2018-06-01 08:34


起源


交換機是否是一個愚蠢的交換機,還是管理好的? - Kinnectus
@BigChris我不知道dump是什麼意思。但它沒有得到管理。 :) - User1-Sp
一個愚蠢的網絡交換機是沒有任何能力來管理或詢問交換機設備本身的交換機 - 即能夠找到您嘗試查找的機器的MAC地址所連接的端口。啞開關沒有額外的“管理”端口。 - Kinnectus
失敗了,因為它是一個如此小的網絡,你可以通過反複試驗來找到它:一次拉出一根電線,直到找到一個削減你與相關地址連接的電線。 - Harry Johnston


答案:


我無法提供 全球 解決你的問題,只是部分問題。 您可以將其添加到 開關 擴大機會範圍的技術。

如果運行VM的用戶通過wifi連接到您的LAN,則可以通過traceroute識別他/她。原因是您向我們展示了VM在您的LAN網絡上有一個IP,因此它在一個 橋接 組態。由於技術原因,無法橋接無線連接,因此所有虛擬機管理程序都使用巧妙的技巧而不是真正的網橋配置:他們使用 proxy_arp,見例如 這是Bodhi Zazen的博客文章 為了解釋這是如何工作的,對於KVM和 這個頁面用於VMWare

由於在VM中有一個PC回复ARP查詢,因此traceroute將識別VM之前的節點。例如,這是我的LAN上另一台PC上的traceroute的輸出:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal是主機,FB是來賓,我是從第三台PC(asusdb)發出的。

在Windows中,正確的命令是

 tracert 10.0.0.131

在Linux上,您可以使用非常方便的實用程序執行相同的操作 地鐵

 mtr 10.0.0.131

這補充而不是取代開關技術。如果你的traceroute顯示你的電腦和虛擬機之間沒有中間跳,那麼至少你會知道你可以排除通過wifi連接的所有局域網,限制你的可能性範圍,並使 開關 技術有效的可能性, 如果 你有一個管理型交換機,或者你願意逐個拔掉交換機中的電纜。

或者,你可以  技術問題並斷開所有以太網連接,迫使用戶使用wifi,直到你的罪魁禍首接受誘餌。


13
2018-06-01 09:33



如果VM橋接,則沒有 IP 源和目的地之間的跳躍。工具 TRACERT 和 地鐵 非常善於追踪 IP路由 路徑,但無法發現在2級工作的橋和交換機。 - jcbermu
你是對的。請在你的答案中加入解釋,這樣我就能再次投票給你 - jcbermu
我可以請你查看我的問題中的更新部分。我認為你的解決方案對我不起作用。我對嗎? (實際的IP數字與我在問題中提到的值有所不同 - 我改變了 123 真正的價值: 131。我可以請你糾正嗎?) - User1-Sp
@MariusMatutiae如果VM軟件實際上使用代理ARP,則屏幕截圖中顯示的MAC地址將沒有VMware OUI。 - Daniel B
當然。但這仍然不是我所說的。我將再次非常清楚地說:VMware OUI MAC是可見的。這顯然暗示了代理ARP 未使用。 VMware僅在需要時使用代理ARP:在無線連接上。 - Daniel B


我假設有20個客戶端連接到a 開關

每個交換機都保存一個表中每個已知MAC地址的表,該表的格式如下:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

哪裡 港口 是交換機上的物理端口 地址 是在端口上檢測到的MAC地址。

你必須檢查 切換控制台 註冊的端口 超過一個 MAC地址,現在您知道VM主機所連接的交換機端口。

只是要確定:

來自Windows設備 ping 10.0.0.123然後發出 arp -a

檢查對應的MAC地址 10.0.0.123 與您在上面檢測到的相同 轉換錶


10
2018-06-01 09:33





我有時候做過這樣的事情。令我困惑的是:您在VMware中使用的工具?所以我假設10.0.0.0/24是你的物理網絡而不是虛擬網絡?您還應該知道,由於額外的網絡層(vmware虛擬網絡),某些工具可能會顯示一些奇怪的東西。

您可以做的第一件事就是分析:

  • ping主機然後再做 arp -a (可能有些錯誤,我正在使用Linux)。查找MAC地址並使用類似的在線服務 http://aruljohn.com/mac.pl 查找前3對地址。您將看到該設備的製造商。

  • 在arp列表中,您還可以檢查兩個不同的IP是否使用相同的MAC地址。這意味著該設備有兩個。

  • ping時間也很有趣。將它與已知的PC和網絡中的打印機進行比較。 PC通常比互聯網路由器的打印機更快地回答。不幸的是,Windows的時間精度不是很好。

  • 最後但同樣重要的是,我建議跑步 nmap -A 10.0.0.131 要么 nmap -A 10.0.0.0/24 它顯示有關特定主機或完整網絡的更多信息。 (Thx to pabouk)


4
2018-06-01 16:27



從三個答案中,這是可以直接從L2網段上的任何計算機完成的最好的一個。此外,我會運行一個真正的高級掃描,以顯示有關計算機的其他信息 - 例如使用 NMAP: nmap -A 10.0.0.131 要么 nmap -A 10.0.0.0/24。通過這種方式,您可以發現操作系統,計算機名稱,運行服務及其版本等.--如果您找不到具有相同MAC的兩個IP地址,這可能非常有用。 - pabouk
ping主機然後執行arp -a將返回我們已經知道的VM的MAC地址;查找前3個八位字節將返回製造商VMWare,我們已經知道了。比較ping時間不會產生任何結果,因為它取決於流量和物理接近度。有時,在向一般觀眾展示之前嘗試自己的答案可能是個好主意。 - MariusMatutiae
@MariusMatutiae我明確寫道,我假設您的主機在網絡中。我之前沒有設置VMware VM只是為了找到它。在您的情況下,您正在自己的主機上尋找虛擬機。這不應該太複雜,找不到;-) - Daniel Alder
@MariusMatutiae只需額外:嘗試跑步 ping 和 arp -a 在主機而不是VM上告訴我你是否看到了不同之處。你在我的答案的第一段中看到了這個的原因。 - Daniel Alder


在非託管網絡上跟踪未知計算機很困難。我已經承擔了幾次這樣的任務,按照優先順序,這就是我處理它們的方式:

  1. 嘗試瀏覽服務器(如果您擔心安全性,如果它是某種蜜罐,請從一次性虛擬機中執行)。你永遠不會知道 - 在網絡瀏覽器中瀏覽該機器可能只是揭示其PC名稱或其目的。如果它有自簽名的SSL證書,那麼通常也會洩漏內部服務器名稱。

    如果它沒有運行Web服務,並且您認為它是Windows PC,請嘗試連接到其管理共享(例如 \\example\c$) - 猜測管理員用戶名可能會很幸運。或者,如果您認為它是Windows Server(或Windows Professional版本),請嘗試遠程桌面插入。

    一旦你以某種方式,那麼你可以搜索有關機器目的的信息,從而可以創建它並將其放在網絡上。然後追踪它們。

    您的掃描儀已經顯示了部分此類信息(如PC名稱,以及Windows框),因此您可能沒有太多需要學習的內容。

  2. 查看交換機的ARP表。這將為您提供該MAC地址與物理端口和VLAN之間的映射。由於您沒有託管交換機,因此無法在您的情況下執行此操作。

  3. 將該IP地址的MAC地址與本地ARP表進行比較。可能存在重複的MAC地址,表示同一物理接口上有兩個IP地址。如果知道其他IP地址,那麼就是你的罪魁禍首。

  4. 開始ping機器。如果它響應ping,請逐個拔掉交換機的電纜,直到ping失敗。您拔掉電源的最後一根電纜導致了您的罪魁禍首。


2
2018-06-01 23:48



最後一個提示可能是非託管網絡的終極(也是唯一)通用解決方案。 - Daniel B


也不是一個完整的解決方案 - 實際上可能沒有完整的解決方案,取決於您的設置,並忽略拔出設備 - 但可能有所幫助。

如果您獲得設備MAC地址(即查看arp表),地址的前3個八位字節通常可以告訴您有關該地址的信息 - 只需將它們打入mac查找器即可 http://www.coffer.com/mac_find/

像NMAP這樣的程序提供指紋檢測,它還可以通過查看其TCP堆棧的構建方式來幫助解決有問題的設備。再次,不完全,但它可以經常幫助。

另一種方式(假設您在有線網絡上)可能是用流量填充不適當的地址,並查找交換機上的哪個端口是彈道的 - 然後跟踪電纜。在WIFI網絡上,事情要困難得多(你可能會強制設備進入假接入點,然後開始移動它並查看信號如何對設備進行三角測量 - 但我沒有嘗試過這樣的事情)。


1
2018-06-02 06:59





將打印機連接到本地網絡的某些方法會使打印機的IP地址超出網絡上計算機可能使用的範圍,因此您可能需要檢查此類打印機。


0
2018-05-23 21:15



MAC地址中的VMware OUI以及PC名稱和IIS監聽清楚地表明這不是打印機。 - Daniel B


您只有大約20個客戶。您正在使用轉儲開關。

我把它讀作“你只有一個便宜的開關”,並且所有20台PC都連接到這個設備。交換機上的每個活動端口通常都有一個或多個LED指示鏈路速度和 活動

最後一個給我們一個簡單的解決方案為您的VM創建大量流量,並查看哪個端口亮起。根據您的操作系統,您可能希望使用一個或多個cmd提示 ping -t 10.0.0.81。在你可以使用的unix like系統上 ping -f 10.0.0.81 淹沒那個IP。 (警告,洪水ping是PC可以處理的最大速度。這個  在整個網絡運行時減慢速度。它還可以使LED永久燃燒。


0
2017-07-20 11:47