Ağımızdaki bilinmeyen bir IP'yi belirleme


14

20 istemciden oluşan bir ağım var. Ben IP aralığı atanan 10.0.0.1için 10.0.0.20onlara. IP taraması yaptığımda VMware'de kullanan birini görüyorum 10.0.0.131. Bu IP'nin hangi IP ile köprülenmiş olduğunu nasıl öğrenebilirim? ie Hangi sistemin 2 IP'ye sahip olduğunu nasıl öğrenebilirim? (yani bu sistemin diğer IP'si)

Güncelleme:

Ağdaki sistem IP adresim 10.0.0.81:

resim açıklamasını buraya girin

IP tarayıcının çıktısı VMware'de kullanan birini gösterir 10.0.0.131:

resim açıklamasını buraya girin

tracertKomutun sonucu aramızda hiçbir şey göstermiyor:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

1
Anahtar aptal bir anahtar mı yoksa yönetiliyor mu?
Kinnectus

@BigChris Dökümle ne demek istediğini bilmiyorum. Ancak yönetilmez. :)
User1-Sp

1
Aptal bir ağ anahtarı, anahtar cihazının kendisini yönetmeniz veya sorgulamanız için herhangi bir yeteneğe sahip olmayan bir anahtardır - yani bulmaya çalıştığınız makinenin MAC adresinin hangi bağlantı noktasına bağlı olduğunu bulabilmek. Aptal anahtarların ek bir "yönetim" bağlantı noktası yoktur.
Kinnectus

2
Her şeyden başarısız olursa, bu kadar küçük bir ağ olduğundan, deneme yanılma yoluyla bulabilirsiniz: söz konusu adrese bağlantınızı kesen kabloyu bulana kadar kabloları birer birer çıkarın.
Harry Johnston

Yanıtlar:


13

Sorununuza küresel bir çözüm sağlayamam , sadece kısmi bir çözüm. Fırsat aralığınızı genişletmek için bunu anahtar tekniğine ekleyebilirsiniz .

VM'yi çalıştıran kullanıcı, LAN'ınıza wifi üzerinden bağlanırsa, onu bir traceroute aracılığıyla tanımlayabilirsiniz. Bunun nedeni, VM'nin LAN ağınızda bir IP'ye sahip olduğunu göstermiş olmanızdır, bu nedenle köprülü bir yapılandırmadadır. Teknik nedenlerle, wifi bağlantıları köprülenemez, bu nedenle tüm hipervizörler gerçek bir köprü yapılandırması yerine düzgün bir hile kullanırlar: proxy_arp kullanırlar , örneğin bunun nasıl çalıştığına dair bir açıklama için KVM için bu Bodhi Zazen'in blog girişine bakın ve bu sayfa VMWare için .

VM'nin yerine ARP sorgularını yanıtlayan bir bilgisayar olduğundan, traceroute, VM'den önceki düğümü tanımlayacaktır. Örneğin, bu benim LAN üzerinde başka bir bilgisayardan benim traceroute çıktısıdır:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal ana makine, FB konuk, ben bu üçüncü bir pc (asusdb) veren.

Windows'da, doğru komut

 tracert 10.0.0.131

Linux'ta, mtr :

 mtr 10.0.0.131

Bu, anahtar tekniğinin yerine geçmek yerine tamamlar. Traceroute, pc ve VM arasında hiçbir ara atlama olmadığını gösterir, en azından wifi üzerinden bağlı tüm LAN adetlerini ekartebileceğinizi, olasılık aralığınızı kısıtlayabileceğinizi ve anahtar tekniğini etkili bir olasılık haline getirebileceğinizi, eğer yönetilen anahtarı varsa veya tek anahtarı birinde kabloları çıkarın hazırız.

Alternatif olarak, şunları yapabilirsiniz sahte bir teknik sorunu ve suçlu yem alana kadar, wifi kullanmak için kullanıcıların zorlayarak, tüm ethernet bağlantılarını kesin.


3
VM köprülenmişse, kaynak ve hedef arasında IP atlama yoktur . Araçlar tracert ve mtr , IP yönlendirme yollarının izini sürmek için çok iyidir , ancak 2. düzeyde çalışan köprüleri ve anahtarları
bulamazlar

Haklısın. Sizi tekrar oylayabilmem için lütfen cevabınıza açıklama ekleyiniz
jcbermu

Sorumun güncelleme bölümünü kontrol etmenizi isteyebilir miyim? Bence çözümünüz benim için işe yaramadı. Haklı mıyım? (Gerçekte IP numaraları, soruda bahsettiğim değerlerden biraz farklıdır - 123gerçek değere değiştirdim:. Sizden 131de düzeltmenizi isteyebilir miyim?)
Kullanıcı1-Sp

3
@MariusMatutiae VM yazılımı gerçekten proxy ARP kullanıyorsa, ekran görüntüsünde gösterildiği gibi MAC adresinde bir VMware OUI bulunmaz.
Daniel B

2
Kesinlikle. Yine de bahsettiğim bu değil. Çok açık bir şekilde söyleyeceğim: Bir VMware OUI MAC görünür. Bu, proxy ARP'nin kullanılmadığını açıkça göstermektedir . VMware proxy ARP'yi yalnızca gerektiğinde kullanır: Kablosuz bağlantılarda.
Daniel B

10

20 istemcinin bir anahtara bağlı olduğunu varsayıyorum :

Her anahtar, tablodaki bilinen her MAC adresinin bir tablosunu tutar ve tablo şöyle bir formattadır:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Nerede Liman anahtarı ve fiziksel liman Adres noktası üzerinde algılanan MAC adresi edilir.

Anahtar konsolunda birden fazla MAC adresi kaydeden bir bağlantı noktasını kontrol etmelisiniz ve artık VM ana bilgisayarının bağlı olduğu anahtar bağlantı noktasını biliyorsunuz.

Sadece emin olmak için:

Bir Windows ekipmanından ping 10.0.0.123ve sonra yayınlayın arp -a.

Karşılık gelen MAC adresinin anahtar tablosunda10.0.0.123 algıladığınız adresle aynı olup olmadığını kontrol edin .


4

Geçmişte böyle şeyler yaptım. Beni şaşırtan nedir: VMware'de araçlarınızı mı kullanıyorsunuz? 10.0.0.0/24 sanal ağınız değil fiziksel ağınız mı? Ayrıca, bazı araçların ekstra ağ katmanı (vmware sanal ağı) nedeniyle garip bir şey görüntüleyebileceğini de bilmelisiniz.

Analiz için yapabileceğiniz ilk şey:

  • Ana bilgisayara ping yapın ve yapın arp -a(biraz yanlış olabilir, Linux kullanıyorum). MAC adresini arayın ve adresin ilk 3 çiftini aramak için http://aruljohn.com/mac.pl gibi bir çevrimiçi hizmet kullanın. Cihazın üreticisini göreceksiniz.

  • Arp listesinde, aynı MAC adresinin iki farklı IP tarafından kullanılıp kullanılmadığını da kontrol edebilirsiniz. Bu, cihazın iki tane olduğu anlamına gelir.

  • Ayrıca ping zamanı ilginçtir. Bilinen bilgisayarlarla ve ağınızdaki bir yazıcıyla karşılaştırın. Yanıtlamada PC'ler normalde internet yönlendiricilerinin yazıcılarından daha hızlıdır. Ne yazık ki, Windows'un zaman hassasiyeti çok iyi değil.

  • Son olarak, belirli bir ana bilgisayar veya tam ağ hakkında daha fazla bilgi vermenizi nmap -A 10.0.0.131veya çalıştırmanızı öneririm nmap -A 10.0.0.0/24. (Thx - pabouk)


1
Üç cevaptan bu, doğrudan L2 segmentindeki herhangi bir bilgisayardan yapılabileceklerin en iyisidir. Ayrıca bilgisayar hakkında ek bilgi ortaya çıkarmak için gerçekten :) gelişmiş bir tarama çalıştırmak - örneğin nmap : nmap -A 10.0.0.131veya kullanarak nmap -A 10.0.0.0/24. Bu şekilde işletim sistemini, bilgisayar adını, çalışan hizmetleri, sürümlerini vb. Keşfedebilirsiniz --- Aynı MAC ile iki IP adresi bulamazsanız bu gerçekten yararlı olabilir.
pabouk

Ana bilgisayara ping işlemi yaptıktan sonra arp -a yaparak zaten bildiğimiz VM'nin MAC adresini döndürür; ilk 3 oktete bakmak zaten bildiğimiz VMWare üreticisini döndürür. Ping sürelerini karşılaştırmak, trafiğe ve fiziksel yakınlığa bağlı olduğu için hiçbir şey vermez. Bazen, genel bir kitleye sunmadan önce kendi yanıtını denemek iyi bir fikir olabilir.
MariusMatutiae

@MariusMatutiae Açıkça barındırıcınızın ağda olduğunu varsayalım. Daha sonra bulmak için bir VMware VM kurmadım. Sizin durumunuzda kendi sunucunuzda sanal bir makine arıyorsunuz. Bu ;-) bulmak için çok karmaşık olmamalı
Daniel Alder

@MariusMatutiae Ekstra: VM yerine çalışmayı pingve arp -aana bilgisayarda çalışmayı deneyin ve bir fark görüp görmediğinizi söyleyin. Bunun nedenini cevabımın ilk paragrafında görüyorsunuz.
Daniel Alder

2

Bilinmeyen bir makineyi yönetilmeyen bir ağda izlemek zordur. Birkaç kez bununla görevlendirildim ve tercih sırasına göre, onlarla nasıl başa çıkacağım:

  1. Sunucuya göz atmaya çalışın (eğer bir çeşit bal küpü ise güvenlik konusunda endişeleriniz varsa, onu bir sanal VM'den yapın). Asla bilemezsiniz - bir web tarayıcısında bu makineye göz atmak PC adını veya amacını ortaya çıkarabilir. Kendinden imzalı bir SSL sertifikası varsa, bu genellikle dahili sunucu adını da sızdırır.

    Bir web hizmeti çalıştırmıyorsa ve bunun bir Windows PC olduğunu düşünüyorsanız, yönetimsel paylaşımlarına bağlanmayı deneyin (ör. \\example\c$) - bir yönetici kullanıcı adı tahmin etme şansınız olabilir. Veya bunun bir Windows Server (veya Windows Professional sürümü) olduğunu düşünüyorsanız, uzaktan masaüstüne bağlanmayı deneyin.

    Bir şekilde girdikten sonra, makinenin amacı ve böylece kimin onu oluşturup ilk etapta ağa koyabileceği hakkında bilgi arayabilirsiniz. Sonra onları takip edin.

    Bu bilgilerin bazıları (PC adı ve bir Windows kutusu gibi) tarayıcınız tarafından zaten açıklanmıştır, bu yüzden burada sizin için öğrenecek çok şey olmayabilir.

  2. Anahtarın ARP tablosuna bakın. Bu size MAC adresi ile fiziksel bir port ve VLAN arasında bir eşleme sağlayacaktır. Yönetilen bir anahtarınız olmadığı için durumunuzda bu mümkün değildir.

  3. Bu IP adresinin MAC adresini yerel ARP tablonuzla karşılaştırın. Belki orada, aynı fiziksel arabirimde iki IP adresini gösteren yinelenen bir MAC adresi vardır. Diğer IP adresi biliniyorsa, suçlu var.

  4. Makineye bir ping işlemi başlatın. Ping'e yanıt verirse, ping başarısız olana kadar kabloları anahtardan birer birer çıkarın. Çıkardığınız son kablo suçluya yol açar.


Bu son ipucu muhtemelen yönetilmeyen ağlar için nihai (ve tek) evrensel çözümdür.
Daniel B

1

Ayrıca tam bir çözüm değil - kurulumunuza bağlı olarak ve fişe takma cihazlarını göz ardı ederek sorunuza tam bir çözüm olmayabilir, ancak yardımcı olabilir.

Cihazların MAC adresini alırsanız (yani arp tablosuna bakın), adresin ilk 3 okteti genellikle adres hakkında bir şeyler söyleyebilir - bunları http://www.coffer.com gibi bir mac arama bulucusuna yumruklayabilirsiniz. / mac_find /

NMAP gibi programlar, TCP yığınının nasıl oluşturulduğuna bakarak söz konusu cihazın çalışmasına yardımcı olabilecek parmak izi algılaması sağlar. Yine, tam geçirmez değil ama genellikle yardımcı olabilir.

Başka bir yol (yalnızca kablolu bir ağda olduğunuzu varsayarsak) uygunsuz adresi trafikle doldurmak ve anahtardaki hangi portun balistikleştiğini aramak olabilir - sonra kabloyu izleyin. Bir WIFI ağında işler çok daha zor (cihazı sahte bir erişim noktasına zorlayabilir, daha sonra taşımaya başlayabilir ve sinyalin cihazı üçgenlemek için nasıl davrandığına bakabilirsiniz - ama böyle bir şey denemedim).


0

Bir yazıcıyı yerel bir ağa bağlama yöntemlerinden bazıları, yazıcıya ağdaki bilgisayarlar tarafından kullanılması muhtemel aralığın dışında bir IP adresi verir, bu nedenle böyle bir yazıcıyı kontrol etmek isteyebilirsiniz.


MAC adresindeki VMware OUI, PC adı ve IIS açıkça dinliyor, bunun bir yazıcı olmadığını gösteriyor.
Daniel B

0

Sadece yaklaşık 20 müşteriniz var. Bir döküm anahtarı kullanıyorsunuz.

Bunu "bir tane ucuz anahtarınız var" olarak okudum ve 20 bilgisayarın hepsi bu tek aygıta bağlı. Anahtardaki her etkin bağlantı noktasında genellikle bağlantı hızını ve etkinliğini gösteren bir veya daha fazla LED bulunur .

Sonuncusu bize kolay bir çözüm sunar. VM'niz için çok fazla trafik oluşturun ve hangi bağlantı noktasının yandığını görün. İşletim sisteminize bağlı olarak, bir veya daha fazla cmd istemi kullanmak isteyebilirsiniz ping -t 10.0.0.81. Unix benzeri bir sistemde ping -f 10.0.0.81, bu IP'ye su basmak için kullanabilirsiniz . (Uyarı, sel ping PC'nizin işleyebileceği maksimum hıza gidiyor. Bu , çalışırken tüm ağınızı yavaşlatacak ve ayrıca LED'in sürekli yanmasını sağlayacaktır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.