Zidentyfikuj nieznany adres IP w naszej sieci

14

Mam sieć zawierającą 20 klientów. I przydzielony zakres adresów IP 10.0.0.1, aby 10.0.0.20się do nich. Kiedy wykonuję skanowanie IP, widzę, że ktoś korzysta 10.0.0.131z VMware. Jak mogę dowiedzieć się, z którym adresem IP jest zmostkowane? tj. Jak mogę dowiedzieć się, który system ma 2 adresy IP? (tj. drugi adres IP tego systemu)

Aktualizacja:

Mój systemowy adres IP w sieci to 10.0.0.81:

wprowadź opis zdjęcia tutaj

Dane wyjściowe skanera IP pokazują, że ktoś używa 10.0.0.131VMware:

wprowadź opis zdjęcia tutaj

A wynik tracertpolecenia nic między nami nie pokazuje:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>
Użytkownik1-Sp
źródło
1
Czy przełącznik jest głupim przełącznikiem, czy jest zarządzany?
Kinnectus
@BigChris Nie wiem, co masz na myśli przez zrzut. Ale nie jest zarządzany. :)
User1-Sp
1
Głupi przełącznik sieciowy to taki, który nie ma możliwości zarządzania ani przesłuchiwania samego urządzenia przełączającego - tj. Aby móc znaleźć port, do którego podłączony jest adres MAC maszyny, którą próbujesz znaleźć. Głupie przełączniki nie mają dodatkowego portu „zarządzania”.
Kinnectus
2
W przeciwnym razie, ponieważ jest to tak mała sieć, możesz ją zlokalizować metodą prób i błędów: wyciągaj przewody jeden po drugim, aż znajdziesz ten, który przerywa połączenie z danym adresem.
Harry Johnston,

Odpowiedzi:

13

Nie mogę dostarczyć globalnego rozwiązania twojego problemu, tylko częściowego. Możesz dodać to do techniki zamiany , aby poszerzyć zakres swoich możliwości.

Jeśli użytkownik uruchamiający maszynę wirtualną jest podłączony do sieci LAN za pośrednictwem Wi-Fi, możesz go zidentyfikować za pomocą traceroute. Powodem jest to, że pokazałeś nam, że VM ma adres IP w twojej sieci LAN, dlatego jest w konfiguracji pomostowej . Ze względów technicznych nie można mostkować połączeń Wi-Fi, dlatego wszystkie hiperwizory używają zgrabnej sztuczki zamiast prawdziwej konfiguracji mostu: używają proxy_arp , zobacz na przykład wpis na blogu Bodhi Zazen, aby wyjaśnić, jak to działa, dla KVM i tej strony dla VMWare .

Ponieważ komputer wirtualny odpowiada na zapytania ARP zamiast maszyny wirtualnej, traceroute zidentyfikuje węzeł przed maszyną wirtualną. Na przykład jest to wyjście mojego traceroute z innego komputera w mojej sieci LAN:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal jest maszyną hosta, FB jest gościem, wystawiam to z trzeciego komputera (asusdb).

W systemie Windows poprawne polecenie to

 tracert 10.0.0.131

W systemie Linux możesz zrobić to samo za pomocą bardzo wygodnego narzędzia mtr :

 mtr 10.0.0.131

To uzupełnia, a nie zastępuje technikę przełączania. Jeśli Twój traceroute pokazuje, że nie ma pośrednich przeskoków między komputerem a maszyną wirtualną, to przynajmniej będziesz wiedział, że możesz wykluczyć wszystkie komputery LAN podłączone przez Wi-Fi, ograniczając zakres możliwości i czyniąc technikę przełączania skuteczną, jeśli masz zarządzany przełącznik lub chcesz odłączyć kable w przełączniku jeden po drugim.

Alternatywnie możesz sfałszować problem techniczny i rozłączyć wszystkie połączenia Ethernet, zmuszając użytkowników do korzystania z Wi-Fi, dopóki twój winowajca nie złapie przynęty.

MariusMatutiae
źródło
3
Jeśli maszyna wirtualna jest zmostkowana, nie ma przeskoków IP między źródłem a miejscem docelowym. Narzędzia tracert i mtr są bardzo dobre do śledzenia ścieżek routingu IP , ale nie są w stanie wykryć mostów i przełączników, które działają na poziomie 2.
jcbermu
Masz rację. Dołącz wyjaśnienie do swojej odpowiedzi, abym mógł ponownie
zagłosować
Czy mogę prosić o sprawdzenie części dotyczącej aktualizacji w moim pytaniu? Myślę, że twoje rozwiązanie nie zadziałało dla mnie. Czy mam rację? (Liczby IP w rzeczywistości są nieco inne w porównaniu z wartościami, które już wspomniałem w pytaniu - zmieniłem 123na wartość rzeczywistą :. 131Czy mogę prosić również o poprawienie?)
User1-Sp
3
@MariusMatutiae Gdyby oprogramowanie VM faktycznie używało proxy ARP, adres MAC pokazany na zrzucie ekranu nie miałby OUI VMware.
Daniel B
2
Na pewno. Jednak wciąż nie o tym mówię. Powiem to jeszcze raz bardzo wyraźnie: widoczny jest VMware OUI MAC. Wyraźnie oznacza to, że proxy ARP nie jest używane . VMware używa proxy ARP tylko wtedy, gdy jest to potrzebne: w połączeniach bezprzewodowych.
Daniel B
10

Zakładam, że 20 klientów jest podłączonych do przełącznika :

Każdy przełącznik utrzymuje tabelę każdego znanego adresu MAC w tabeli, a tabela ma format podobny do tego:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Gdzie Port to fizyczny port przełącznika, a Adres to adres MAC wykryty na porcie.

Musisz sprawdzić w konsoli przełączników port, który rejestruje więcej niż jeden adres MAC, a teraz znasz port przełącznika, do którego podłączony jest host VM.

Tak dla pewności:

Ze sprzętu Windows, ping 10.0.0.123a następnie problem arp -a.

Sprawdź, czy odpowiadający mu adres MAC 10.0.0.123jest taki sam, jak wykryty w tablicy przełączników .

jcbermu
źródło
4

Robiłem takie rzeczy czasami w przeszłości. Co mnie dezorientuje: używasz swoich narzędzi w VMware? Zakładam więc, że 10.0.0.0/24 to twoja sieć fizyczna, a nie wirtualna? Powinieneś także wiedzieć, że niektóre narzędzia mogą wyświetlać coś dziwnego z powodu dodatkowej warstwy sieci (wirtualnej sieci vmware).

Pierwszą rzeczą, którą możesz zrobić, aby przeanalizować:

  • Wyślij polecenie ping do hosta, a następnie zrób to arp -a(może być nieco źle, używam Linuksa). Poszukaj adresu MAC i skorzystaj z usługi online, takiej jak http://aruljohn.com/mac.pl, aby wyszukać pierwsze 3 pary adresu. Zobaczysz producenta urządzenia.

  • Na liście arp możesz również sprawdzić, czy ten sam adres MAC jest używany przez dwa różne adresy IP. Oznaczałoby to, że urządzenie ma dwa z nich.

  • Interesujący jest także czas pingowania. Porównaj to ze znanymi komputerami i być może drukarką w twojej sieci. Komputery PC zwykle odpowiadają szybciej niż drukarki routerów internetowych. Niestety precyzja czasu systemu Windows nie jest zbyt dobra.

  • Na koniec , polecam uruchomić nmap -A 10.0.0.131lub nmap -A 10.0.0.0/24ujawnia więcej informacji na temat konkretnego hosta lub pełnej sieci. (Dziękuję pabouk)

Daniel Alder
źródło
1
Z trzech odpowiedzi jest to najlepsza z tego, co można zrobić bezpośrednio z dowolnego komputera w segmencie L2. Dodatkowo uruchomiłbym naprawdę zaawansowany skan, aby ujawnić dodatkowe informacje o komputerach - używając na przykład nmap : nmap -A 10.0.0.131lub nmap -A 10.0.0.0/24. W ten sposób możesz odkryć na przykład system operacyjny, nazwę komputera, uruchomione usługi, ich wersje itp. --- Może to być naprawdę pomocne, jeśli nie znajdziesz dwóch adresów IP z tym samym adresem MAC.
pabouk
Pingowanie hosta, a następnie wykonanie arp -a zwróci adres MAC maszyny wirtualnej, który już znamy; wyszukiwanie pierwszych 3 oktetów zwraca producenta VMWare, którego już znamy. Porównywanie czasów pingów nie daje nic, ponieważ zależy od ruchu i fizycznej odległości. Czasami dobrym pomysłem może być wypróbowanie własnej odpowiedzi przed przedstawieniem jej ogółowi odbiorców.
MariusMatutiae
@MariusMatutiae Jawnie napisałem, że zakładam, że twój host jest w sieci. Nie skonfigurowałem VMware VM tylko po to, aby ją później znaleźć. W twoim przypadku szukasz maszyny wirtualnej na własnym hoście. Nie powinno to być zbyt skomplikowane do znalezienia ;-)
Daniel Alder
@MariusMatutiae Dodatkowy dodatek: Spróbuj uruchomić pingi arp -ana hoście zamiast na maszynie wirtualnej i powiedz mi, czy widzisz różnicę. Powód tego widzisz w pierwszym akapicie mojej odpowiedzi.
Daniel Alder,
2

Wyszukanie nieznanego komputera w niezarządzanej sieci jest trudne. Zostałem do tego przydzielony kilka razy i w kolejności preferencji, tak sobie z nimi radzę:

  1. Spróbuj przejrzeć serwer (jeśli obawiasz się o bezpieczeństwo, jeśli jest to jakiś plaster miodu, zrób to z wyrzuconej maszyny wirtualnej). Nigdy nie wiadomo - przeglądanie tego komputera w przeglądarce może równie dobrze ujawnić jego nazwę komputera lub cel. Jeśli ma samopodpisany certyfikat SSL, wówczas często wycieknie również nazwa wewnętrznego serwera.

    Jeśli nie jest uruchomiona usługa internetowa i uważasz, że to komputer z systemem Windows, spróbuj połączyć się z jej udziałami administracyjnymi (np. \\example\c$) - możesz mieć szczęście z odgadnięciem nazwy użytkownika administratora. Lub jeśli uważasz, że jest to Windows Server (lub wersja Windows Professional), spróbuj na nim wykonać zdalny pulpit.

    Gdy już będziesz w jakiś sposób, możesz wyszukać informacje o celu maszyny, a tym samym, kto mógł ją utworzyć i umieścić w sieci. Następnie wyśledzić je.

    Niektóre z tych informacji (np. Nazwa komputera i to, że jest to okno systemu Windows) zostały już ujawnione przez skaner, więc może nie być wiele do nauczenia się tutaj.

  2. Spójrz na tabelę ARP przełącznika. To da ci mapowanie między tym adresem MAC a fizycznym portem i VLAN. W twojej sytuacji nie jest to możliwe, ponieważ nie masz przełącznika zarządzanego.

  3. Porównaj adres MAC tego adresu IP z lokalną tabelą ARP. Może jest tam zduplikowany adres MAC, który wskazuje dwa adresy IP na tym samym interfejsie fizycznym. Jeśli drugi adres IP jest znany, to jest twój winowajca.

  4. Uruchom polecenie ping do komputera. Jeśli reaguje na ping, odłącz kable od przełącznika, jeden po drugim, aż ping się nie powiedzie. Ostatni kabel, który odłączyłeś, prowadzi do twojego sprawcy.

Mark Henderson
źródło
Ta ostatnia wskazówka jest prawdopodobnie najlepszym (i jedynym) uniwersalnym rozwiązaniem dla sieci niezarządzanych.
Daniel B
1

Również nie jest to pełne rozwiązanie - w rzeczywistości może nie być pełnego rozwiązania twojego pytania w zależności od konfiguracji i ignorowania odłączania urządzeń - ale może pomóc.

Jeśli otrzymasz adres MAC urządzenia (tj. Spójrz na tablicę arp), pierwsze 3 oktety adresu często mogą powiedzieć coś o adresie - po prostu włóż je do wyszukiwarki mac, takiej jak http://www.coffer.com / mac_find /

Programy takie jak NMAP zapewniają wykrywanie odcisków palców, co może również pomóc w opracowaniu danego urządzenia, patrząc na sposób budowy stosu TCP. Ponownie nie jest w pełni odporny, ale często może pomóc.

Innym sposobem (zakładając, że jesteś w sieci przewodowej) może być zalanie nieodpowiedniego adresu ruchem i poszukiwanie portu na przełączniku balistycznym - a następnie prześledzenie kabla. W sieci WIFI rzeczy są o wiele trudniejsze (być może możesz zmusić urządzenie do fałszywego punktu dostępu, a następnie zacznij go przesuwać i sprawdzać, jak zachowuje się sygnał, aby triangulować urządzenie - ale nie próbowałem czegoś takiego).

Davidgo
źródło
0

Niektóre metody podłączania drukarki do sieci lokalnej dają drukarce adres IP spoza zakresu, który prawdopodobnie będzie używany przez komputery w sieci, więc możesz chcieć sprawdzić taką drukarkę.

milesrf
źródło
OUI VMware w adresie MAC, a także nazwa komputera i nasłuch IIS wyraźnie wskazują, że nie jest to drukarka.
Daniel B
0

Masz tylko około 20 klientów. Używasz przełącznika zrzutu.

Przeczytałem to jako „masz dokładnie jeden tani przełącznik” i wszystkie 20 komputerów jest podłączonych do tego jednego urządzenia. Każdy aktywny port w przełączniku ma zwykle jedną lub więcej diod LED wskazujących szybkość i aktywność łącza .

To ostatnie daje nam łatwe rozwiązanie. Stwórz duży ruch dla swojej maszyny wirtualnej i sprawdź, który port się świeci. W zależności od systemu operacyjnego możesz użyć jednego lub więcej poleceń cmd z ping -t 10.0.0.81. Z systemu uniksowego możesz użyć ping -f 10.0.0.81do zalania tego adresu IP. (Uwaga, ping flood będzie maksymalna prędkość, że komputer może obsługiwać. To będzie spowolnić całą sieć, gdy jest uruchomiony. Będzie to również dioda spalić permanentnly.

Hennes
źródło