web-dev-qa-db-ja.com

ネットワーク内の未知のIPを特定する

20クライアントを含むネットワークがあります。 IP範囲10.0.0.110.0.0.20を割り当てました。 IPスキャンを実行すると、VMwareで10.0.0.131を使用している人がいます。このIPがブリッジされているIPを確認するにはどうすればよいですか?つまり、2つのIPを持つシステムをどのようにして見つけることができますか? (つまり、このシステムの他のIP)

更新:

ネットワーク内の私のシステムIPは10.0.0.81です

enter image description here

IPスキャナーの出力には、VMwareで10.0.0.131を使用している人が表示されます:

enter image description here

そしてtracertコマンドの結果は私たちの間に何も表示しません:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 Hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>
14
User1-Sp

私はあなたの問題のglobalソリューションを提供することはできません。これをswitchテクニックに追加して、機会の範囲を広げることができます。

VM=を実行しているユーザーがwifi経由でLANに接続している場合、tracerouteを使用してそのユーザーを特定できます。理由は、VMはLANネットワーク上にIPを持っているため、bridged構成になっています。技術的な理由により、wifi接続はブリッジできません。すべてのハイパーバイザーは、実際のブリッジ構成の代わりにきちんとしたトリックを使用します:proxy_arpを使用します。たとえば、この方法の説明については、例 このBodhi Zazenのブログエントリ を参照してくださいKVMの場合は機能します VMWareの場合はこのページ

VMの代わりにARPクエリに応答するPCがあるため、tracerouteはVMの前のノードを識別します。たとえば、これは私のLAN上の別のPCからの私のtracerouteの出力です。

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasalはホストマシン、FBはゲストです。これを3番目のPC(asusdb)から発行しています。

Windowsでは、適切なコマンドは

 tracert 10.0.0.131

Linuxでは、非常に便利なユーティリティmtrを使用して同じことができます。

 mtr 10.0.0.131

これは、スイッチ技術に取って代わるものではなく、補完するものです。 tracerouteがPCとVMの間に中間ホップがないことを示している場合、少なくともWi-Fi経由で接続されているすべてのLAN PCを除外し、可能性の範囲を制限して、switch技術が効果的な可能性です。if管理されたスイッチがあるか、スイッチのケーブルを1つずつ取り外してもかまいません。

あるいは、技術的な問題を偽装偽装して、すべてのイーサネット接続を切断し、犯人が餌をとるまでユーザーにwifiの使用を強制することができます。

13
MariusMatutiae

20台のクライアントがswitchに接続されていると想定しています。

すべてのスイッチは、テーブル上のすべての既知のMACアドレスのテーブルを管理し、テーブルは次のような形式です。

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

ここで、Portはスイッチの物理ポートであり、AddressはMACですポートでアドレスが検出されました。

スイッチコンソールを登録するポートをチェックする必要があります1つ以上 MACアドレス、そして今スイッチポートを知っていますVMホストが接続されています。

念のために:

Windows機器からping 10.0.0.123を発行し、次にarp -aを発行します。

10.0.0.123に対応するMACアドレスが、スイッチテーブルで検出したものと同じであることを確認します。

10
jcbermu

昔はこういうこともした。 VMwareでツールを使用していますか?それで、私は10.0.0.0/24があなたの物理ネットワークであり仮想ネットワークではないと仮定しますか?また、一部のツールでは、追加のネットワークレイヤー(VMware仮想ネットワーク)のために奇妙なものが表示される場合があることも知っておく必要があります。

分析のために最初にできること:

  • ホストにpingしてからarp -a(少し間違っている可能性があります。私はLinuxを使用しています)。 MACアドレスを探し、 http://aruljohn.com/mac.pl のようなオンラインサービスを使用して、アドレスの最初の3つのペアを探します。デバイスの製造元が表示されます。

  • Arpリストでは、2つの異なるIPで同じMACアドレスが使用されているかどうかを確認することもできます。これは、デバイスに2つあることを意味します。

  • また、ping時間も興味深いです。既知のPCやネットワーク内のプリンターと比較してください。 PCは通常、インターネットルーターのプリンターよりも応答が速いです。残念ながら、Windowsの時間精度はあまり良くありません。

  • 最後になりましたが、私はnmap -A 10.0.0.131またはnmap -A 10.0.0.0/24これにより、特定のホストまたはネットワーク全体に関する詳細情報が表示されます。 (Thab to pabouk)

4
Daniel Alder

管理されていないネットワーク上の未知のマシンを追跡することは困難です。私はこれを数回課されてきましたが、優先順に、これが私がそれらに対処する方法です:

  1. サーバーを閲覧してみてください(ある種のハニーポットである場合にセキュリティが心配な場合は、使い捨てVMから行ってください)。あなたは決して知りません-Webブラウザーでそのマシンにアクセスすると、そのPC名またはその目的が明らかになるだけです。自己署名SSL証明書がある場合、内部サーバー名も漏洩することがよくあります。

    Webサービスが実行されておらず、Windows PCであると思われる場合は、管理共有に接続してみてください(例:\\example\c$)-管理者のユーザー名を推測すると幸運になる場合があります。または、それがWindowsサーバー(またはWindows Professionalエディション)だと思われる場合は、リモートデスクトップを試みてください。

    何らかの方法で、マシンの目的に関する情報を検索し、だれがそれを作成したのか、そもそもそれをネットワークに配置することができます。次に、それらを追跡します。

    この情報の一部(PC名やWindowsボックスであることなど)はスキャナーによって既に明らかにされているため、ここで学ぶことはあまりないかもしれません。

  2. スイッチのARPテーブルを確認します。これにより、そのMACアドレスと物理ポートおよびVLANの間のマッピングが得られます。管理されたスイッチがないため、この状況では不可能です。

  3. そのIPアドレスのMACアドレスをローカルARPテーブルと比較します。おそらくそこに重複したMACアドレスがあり、同じ物理インターフェイス上の2つのIPアドレスを示しています。他のIPアドレスがわかっている場合は、原因が考えられます。

  4. マシンへのpingを開始します。 pingに応答する場合は、pingが失敗するまでスイッチからケーブルを1つずつ取り外します。取り外した最後のケーブルが原因です。

2
Mark Henderson

また、完全な解決策ではありません-実際の設定によっては、質問への完全な解決策がなく、デバイスの取り外しを無視することもありますが、役立つ可能性があります。

デバイスのMACアドレスを取得した場合(つまり、arpテーブルを参照)、アドレスの最初の3オクテットでアドレスについて何かを知ることができます-それらをMacルックアップFinderにパンチするだけです http:// www .coffer.com/mac_find /

NMAPのようなプログラムは、指紋検出を提供します。これは、TCPスタックの構築方法を確認することにより、問題のデバイスを解決するのにも役立ちます。ここでも、完全ではありませんが、多くの場合は役立ちます。

別の方法(有線のみのネットワークを使用していると想定)は、不適切なアドレスをトラフィックでフラッディングし、スイッチのどのポートが弾道になるかを探し、ケーブルをトレースすることです。 WIFIネットワークでは、物事は非常に困難です(デバイスを偽のアクセスポイントに強制的に移動し、それを動かし始めて、信号がデバイスの三角測量にどのように動作するかを確認できますが、私はこのようなことを試していません)。

1
davidgo

クライアントは約20しかありません。ダンプスイッチを使用しています。

私はこれを「安価なスイッチが1つある」と読み、20台すべてのPCがこの単一のデバイスに接続されています。スイッチの各アクティブポートには、通常、リンク速度とアクティビティを示す1つ以上のLEDがあります。

最後は私たちに簡単な解決策を与えます。 VMに対して大量のトラフィックを作成し、どのポートが点灯するかを確認します。OSによっては、ping -t 10.0.0.81で1つ以上のcmdプロンプトを使用したい場合があります。UNIXのようなシステムの場合ping -f 10.0.0.81を使用してそのIPをフラッディングできます(警告、フラッディングpingはPCが処理できる最大速度に達しています。これは遅くなりますネットワーク全体が稼働している間、LEDが永続的に燃えます。

0
Hennes

プリンターをローカルネットワークに接続する方法の中には、ネットワーク上のコンピューターで使用される可能性のある範囲外のIPアドレスをプリンターに与えるものがあるため、そのようなプリンターを確認することをお勧めします。

0
milesrf